Security Center は、Web サイト改ざん防止、異常なプロセス、Webシェル、異常ログイン、悪意のあるプロセスなど、アセット上のセキュリティアラートをリアルタイムで検出します。Security Center は脅威検出モデルを使用して包括的な検出を提供し、アセット上のセキュリティ脅威を特定し、セキュリティ体制をリアルタイムで把握するのに役立ちます。
機能概要
リスクレベル
Security Center は、アラートを 3 つのリスクレベルに分類し、優先順位付けを支援します。
リスクレベル | 説明 | 推奨される操作 |
緊急 |
| 即時対応。推奨される操作:アセットの隔離、不審なネットワーク接続のブロック、攻撃現場の保全。 |
不審 |
| 分析が必要。計画された O&M 操作であるかを確認します。そうである場合は、動作をホワイトリストに追加します。そうでない場合は、緊急アラートとして処理します。 |
注意 | アラートの動作は、攻撃経路において必須ではないステップであり、「不審なポートリッスン動作」など、通常の O&M 動作に類似しています。 | 監査と最適化。これを使用して、非準拠の設定や潜在的なリスクを見つけます。定期的にセキュリティポリシーを確認し、最適化します。即時の対応は必要ありません。 |
脅威検出モデル
Security Center は 380 以上の脅威検出モデルを使用して、包括的な脅威検出を行います。これらのモデルは、攻撃チェーンの主要な段階をカバーし、広範囲の攻撃行動を検出します。以下のセクションでは、検出段階とモデルの例を説明します:
セキュリティアラート ページで、左上隅にある 
アイコンをクリックすると、Security Center が提供する脅威検出モデルを表示できます。
Initial Access: Java アプリケーションにおける異常なコマンド実行や Web 脆弱性の悪用が含まれます。
Code Execution:リバースシェルや悪意のあるスクリプトコードの実行などが含まれます。
Persistence: パスワードレスログイン証明書の不審な書き込みや、設定ミスのある Redis の悪用などが含まれます。
Privilege Escalation:設定ミスのある Redis の悪用や高リスクコマンドの不正な実行などが含まれます。
Defense Evasion:RAM ユーザーによる異常なログインや不審なプログラムなどが含まれます。
Credential Access:通常とは異なる場所からの ECS インスタンスへのログインや、ECS インスタンスに対するブルートフォース攻撃の成功などが含まれます。
Discovery:OSS への不審なアクセスや、機密性の高いポートのスキャンの疑いなどが含まれます。
Lateral Movement: Windows におけるワームおよび不審なネットワーク接続が含まれます。
Collection:ポートスキャン、および Kubernetes サービスに対する中間者攻撃 (CVE-2020-8554) の疑いが含まれます。
Data Leakage: アウトオブバンド (OOB) 攻撃ドメイン名へのリクエスト、および疑わしいコマンド & コントロール (C2) トロイの木馬の通信が含まれます。
Remote Control: トロイの木馬プログラムおよびバックドアプログラムが含まれます。
Impact and Damage: DDoS トロイの木馬やランサムウェアなどが含まれます。
Prepare Resources:自己変異型トロイの木馬やハッキングツールなどが含まれます。
Target Discovery: 悪意のあるダウンロードソースおよびスキャナーへのプロアクティブな接続が含まれます。
アラート機能の制限
Security Center は、リアルタイムのアラート、脆弱性管理、攻撃元追跡を提供することでアセットを保護します。しかし、Security Center には制限があります。包括的な保護のためには、多層防御戦略を採用することを推奨します:
起動の遅延:サーバーが再起動すると、Security Center エージェントは初期化に時間が必要です。この期間中、サーバーはランサムウェアや DDoS トロイの木馬などの迅速に動作する脅威に対して脆弱です。
未知の脅威:攻撃手法やウイルスは絶えず進化しており、ビジネス環境も様々です。そのため、Security Center がすべての未知の脅威をリアルタイムで検出・防止することを保証することはできません。
より堅牢な防御を構築するために、Security Center を以下の対策で補完することができます:
サーバー上のオペレーティングシステムとアプリケーションに定期的にセキュリティパッチを適用することができます。
Cloud Firewall や Web Application Firewall などの他の製品を使用して、ネットワークの攻撃対象領域を減らすことができます。
アラート処理フロー
バージョンのサポート
サブスクリプション
サービスエディション | 検出範囲 | アラート処理機能 |
Basic、Value-added Plan | 従来の単一行 Webシェル、異常な場所からのログイン、自己増殖型トロイの木馬、DDoS トロイの木馬、マイニングプログラムなど、クラウド上の一般的な単純な攻撃 (コンテナアセットは含まない) | アラート抑制:Add to Whitelist、Ignore、など。 |
Anti-virus | 無料版の機能に加え、不審および悪意のあるファイル (バイナリを含む) の検出および精密防御モデル (コンテナアセットは含まない) |
|
Advanced | ウイルス対策版の機能に加え、不審および悪意のあるプロセス活動やファイル操作の検出および精密防御モデル (コンテナアセットは含まない) | |
Enterprise | Premium Edition の機能に加え、プロセス活動、ファイル操作、ネットワーク接続など、すべての悪意のある動作に対する 380 以上の検出および精密防御モデル (コンテナアセットは含まない) | |
アルティメットUltimate エディション | Enterprise Edition の機能 (コンテナアセットをカバー) に加え、コンテナエスケープ、危険なイメージの実行、非イメージプログラムの起動など、コンテナ固有の攻撃行動に対する検出およびプロアクティブ防御モデル |
従量課金
保護レベル | 検出範囲 | アラート処理機能 |
Unprotected | 従来の単一行 Webシェル、異常な場所からのログイン、自己増殖型トロイの木馬、DDoS トロイの木馬、マイニングプログラムなど、クラウド上の一般的な単純な攻撃 (コンテナアセットは含まない) | アラート抑制: Add to Whitelist、Ignoreなど。 |
Antivirus | Unprotected レベルの機能に加え、不審なファイルおよび悪意のあるファイル (バイナリを含む) に対する検知および精密な防御モデル (コンテナー資産は含まれません) |
|
Host Protection | Antivirus レベルの機能に加え、プロセス活動、ファイル操作、ネットワーク接続など、すべての悪意のある動作に対応する 380 を超える検知モデルと高精度な防御モデル (コンテナー資産は除く) | |
Hosts and Container Protection | Host Protection の機能 (コンテナー資産も対象) に加え、コンテナーエスケープ、リスクのあるイメージの実行、イメージに含まれないプログラムの起動などのコンテナー固有の攻撃動作に対する検知およびプロアクティブな防御モデル。 |
セキュリティアラートのタイプ
タイプ | 説明 |
Network Defense Alert (旧称: 攻撃分析) | 「ホストの悪意のある動作の防御」および「ホストのブルートフォース攻撃からの保護」ポリシーの Network Threat Prevention カテゴリでルールを有効にすると、Security Center は、これらの保護ルールに基づいて検出された攻撃を自動的にブロックし、Network Defense Alert を生成します。 詳細については、「ネットワーク防御アラート (旧: 攻撃分析)」をご参照ください。 重要
|
Precise Defense | 悪意のあるホスト行動からの保護 機能は、有効な防御ルールに基づいてアラートを生成します。 アラートメトリックは Precise Defense です。 悪意のあるホスト行動からの保護 機能の詳細については、「ホスト保護設定」をご参照ください。 |
Suspicious Process Behavior | 不審なコマンドシーケンスの実行、異常なパスからの起動、プロセスインジェクション、システムファイルや設定の不正な変更など、異常なプロセス動作を検出します。 |
Webshell | サーバー上の Webシェルバックドアファイル、またはログやイメージなどの非プログラムファイルに悪意のあるコードが注入されているのを検出します。 |
Unusual Logon | 事前設定されたポリシーに準拠しない型破りなログイン、ブルートフォース攻撃の成功、既知の悪意のある IP アドレスやバックドアアカウントからのログイン試行を検出します。 |
Malware | ウイルス、トロイの木馬、ランサムウェア、マイニングプログラム、ハッキングツールなど、ホスト上で実行中または存在するさまざまな種類のマルウェアを検出します。 |
Cloud Service Threat Detection | AccessKey などのクラウドプラットフォームの ID 認証情報の窃取や悪用、およびクラウドリソースの異常な設定や権限のプロービングを検出します。 |
Unusual Network Connection | ポートスキャン、悪意のあるソースへの接続、リバースシェルなど、サーバー上のさまざまな不審なネットワーク動作を検出します。これらは、攻撃の偵察、リモートコントロール、ラテラルムーブメントの典型的な兆候です。 説明 暗号化された HTTPS トラフィックの検出はサポートされていません。 |
Malicious Script | サーバー上で悪意のある、または不審なスクリプトファイルが検出され、関連するコード実行が検出されました。これは、攻撃者がシステムを侵害し、悪意のある命令を実行していることを示します。 |
Persistent Webshell | 自動起動項目の作成、メモリ常駐バックドア、隠しプロセス、高度なシステム機能の悪用など、攻撃者が長期的な制御を維持するために設定した永続化メカニズムを検出します。 |
Sensitive File Tampering | コアシステムファイルや設定 (共有ライブラリのプリロードファイルなど) の改ざんを検出します。攻撃者は、ファイルの変更、置換、移動などの方法を使用して、永続化を達成したり、セキュリティ検出をバイパスしたりします。 |
コンテナクラスターの異常 | コンテナクラスターにおける多次元かつ多段階の攻撃行動を検出します。これには主に、サービスアカウントを使用した権限昇格 (異常なトークン作成、高権限ロールへのバインドなど)、ラテラルムーブメント (コンテナへの侵入とコマンド実行、kubelet へのアクセスなど)、情報窃取 (Secret の列挙など) が含まれます。 |
Suspicious Account | システム内で異常なアカウントが検出されました。 |
Webシェル検出 (ローカルスキャン) | ファイルの動作に基づいて脅威レベルをスコアリングし、危険な機能や特徴を持つ不審なファイルを特定します。 |
脆弱性攻撃 | オペレーティングシステムやアプリケーションの既知の脆弱性を悪用して、リモートコード実行、権限昇格、またはコンテナエスケープを達成する攻撃行動を検出します。 |
異常なネットワークトラフィック | ネットワークトラフィックを分析し、ホストの動作と相関させることで、発生した攻撃や進行中の悪意のある活動を特定します。 |
Container Escape Prevention | Proactive Defense for Containers で コンテナエスケープ防止 ルールを作成した後、コンテナ内のプロセスがルールの定義に違反する不正な操作 (ホスト上の機密パスへのアクセスや権限昇格など) を実行しようとすると、防御モジュールがその操作をブロックしてセキュリティアラートを生成します。 |
コンテナのプロアクティブディフェンス | コンテナのプロアクティブ防御は、2 つのコアランタイムセキュリティ機能を提供し、検出されたすべての危険な動作に対してセキュリティアラートを生成します:
|
リスクイメージのブロッキング | 危険なイメージのブロックルールを Proactive Defense for Containers で作成すると、イメージを使用してクラスターにリソース (Pod など) が作成される際に、Security Center がリアルタイムのセキュリティチェックを実行します。ルールにヒットした危険なイメージの場合、システムは自動的にアラート通知、ブロック、または許可のいずれかを行い、セキュリティアラートを生成します。 |
Trusted Exception | ECS の信頼済みインスタンスの信頼状態を検出し、関連する状態異常を処理します。 |
その他 | Security Center クライアントの異常なオフライン状態、DDoS フラッド攻撃など。 |
アラートチェック項目
Precise Defense
アラート名 | 説明 |
DDoS トロイの木馬 | 検出モデルにより、サーバー上で実行されている DDoS トロイの木馬が検出されました。DDoS トロイの木馬は、侵害されたホストから命令を受け取り、攻撃者が指定したターゲットに対して DDoS 攻撃を開始する悪意のあるプログラムです。 |
ランサムウェア | 検出モデルにより、サーバー上で実行されているランサムウェアが検出されました。ランサムウェアは、ホスト上のすべての重要なデータファイルを暗号化して身代金を要求する悪意のあるプログラムです。 |
バックドアプログラム | 検出モデルにより、サーバー上で実行されているバックドアプログラムが検出されました。バックドアプログラムは、システムに埋め込まれた永続的なプログラムで、攻撃者がホストへの継続的なアクセスを維持できるようにします。 |
悪意のあるプログラム | クラウドスキャンにより、悪意のあるプログラムが検出されました。 |
感染型ウイルス | 検出モデルにより、サーバー上で実行されている感染型ウイルスが検出されました。感染型ウイルスは、ウイルスが通常のプログラムファイルに悪意のあるコードを注入する高度な悪意のあるプログラムです。その結果、多くの通常のプログラムが感染し、悪意のあるものとして検出されます。 |
マイニングプログラム | 検出モデルにより、サーバー上で実行されているマイニングプログラムが検出されました。マイニングプログラムは、ホストのコンピューティングリソースを占有して仮想通貨を採掘するプログラムです。この活動は、しばしば高い CPU 使用率と、ホスト上の他の関連する悪意のあるプログラムの存在をもたらします。 |
トロイの木馬プログラム | 検出モデルにより、サーバー上でトロイの木馬プログラムが検出されました。トロイの木馬プログラムは、ユーザーのホストに侵入するために特別に設計されています。通常、システムに埋め込まれるために偽装し、その後、他の悪意のあるプログラムをダウンロードして実行します。 |
ワーム | 検出モデルにより、サーバー上で実行されているワームが検出されました。ワームは、侵害されたホストから他のホストへのラテラルムーブメント攻撃に使用されるプログラムです。ワームは、しばしば脆弱性の悪用やパスワードのクラッキングなどの活動を行います。 |
不審なプログラム | 検出モデルにより、サーバー上で実行されている不審なプログラムが検出されました。不審なプログラムは、悪意のあるコードの特徴を持つか、非常に不審な動作を示すが、まだ明確に分類されていないプログラムです。提供された情報に基づいてプログラムを評価する必要があります。 |
自己増殖型トロイの木馬 | 検出モデルにより、サーバー上で実行されている自己増殖型トロイの木馬が検出されました。自己増殖型トロイの木馬は、自己変異能力を持つトロイの木馬プログラムで、自身のハッシュを変更したり、多くの異なるパスに自身をコピーしてバックグラウンドで実行したりして、検出と駆除を回避します。 |
悪意のある IP のブロック | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
悪意のある DNS リクエストのブロック | Alibaba Cloud Security は、ご利用の ECS インスタンスが悪意のあるドメイン名と通信していることを検出しました。これは、攻撃者がサーバーを侵害した可能性を示します。精密防御は、サーバーへの損害を防ぐためにこのネットワークリクエストを正常にブロックしました。 |
プロセス動作のブロック | 高リスクコマンドが検出されました。これは、侵害されたサーバー上の攻撃者による悪意のあるアクションである可能性があります。Security Center の精密防御機能は、サーバーへの損害を防ぐためにこの悪意のあるコマンドを正常にブロックしました。 |
クライアントプロセスの悪意のある中断 | クライアントの正常な動作を妨げる不審なプロセス変更動作が検出されました。この動作がリアルタイムの脅威検出を損なうのを防ぐため、このアクションはプロアクティブにブロックされました。攻撃者はしばしば、ホストを侵害するためにセキュリティ対策を妨害します。このアラートに細心の注意を払ってください。サーバー上の他のセキュリティアラート、高リスクの脆弱性、または弱いパスワードのリスクを確認してください。このアクションを開始したのがお客様自身である場合は、このアラートを無視できます。 |
クライアントファイルの悪意のある中断 | クライアントの正常な動作を妨げる不審なファイル変更動作が検出されました。この動作がリアルタイムの脅威検出を損なうのを防ぐため、このアクションはプロアクティブにブロックされました。攻撃者はしばしば、ホストを侵害するためにセキュリティ対策を妨害します。このアラートに細心の注意を払ってください。サーバー上の他のセキュリティアラート、高リスクの脆弱性、または弱いパスワードのリスクを確認してください。このアクションを開始したのがお客様自身である場合は、このアラートを無視できます。 |
脆弱性攻撃プログラム | 検出モデルにより、サーバー上で実行されている脆弱性攻撃プログラムが検出されました。脆弱性攻撃プログラムは、オペレーティングシステムやアプリケーションの既知の脆弱性を攻撃して、権限昇格、コンテナエスケープ、任意コード実行などの目的を達成するために使用されます。 |
ランサムウェア対策のためのおとりキャプチャ | 事前に設定されたおとりファイルを使用して、システム内の不審なランサムウェアプロセスを検出またはブロックしました。 |
Webシェルの悪意のある接続のブロック | 悪意のある Webシェル接続がブロックされました。 |
ハッキングツール | 検出モデルにより、サーバー上でハッキングツールが検出されました。ハッキングツールは、侵入中に攻撃者が権限昇格、機密データの窃取、またはセキュリティソフトウェアのアンインストールに使用します。また、侵入後にバックドアプログラムとして埋め込まれることもあります。 |
Windows バックドアアカウントのログインセッションのブロック | 攻撃者がバックドアアカウントでこのマシンにログインしようとする試みが検出されました。Security Center はこのログイン試行をブロックしました。 |
プロセス開始のブロック (カスタム) | Security Center では、プロセスファイルの MD5 ハッシュを追加できます。プロアクティブ防御は、MD5 ハッシュを使用して、起動時にプロセスをブロックします。 |
AntSword Webシェル通信 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
Cknife Webシェル通信 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
ルートキット | 検出モデルにより、サーバー上でルートキットが検出されました。ルートキットは、自身の痕跡や他の悪意のあるプログラムの痕跡を隠すために、システムのコアに埋め込まれた悪意のあるモジュールです。 |
XISE Webシェル通信 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
リバースシェル | リバースシェルは、攻撃者が被害者のサーバーを制御するために使用する方法です。このアラートは、bash、python、perl、lua、php、telnet などのプロセスによって実装されたリバースシェルによってトリガーされます。 |
高リスクコマンドの不正実行 | 攻撃者は、Dirty COW 脆弱性や sudo 権限昇格など、脆弱性や設定ミスを悪用して被害者のサーバーで権限を昇格させます。 |
Webシェルコマンドの実行 | 攻撃者は、Cknife、AntSword、Behinder、Godzilla などの Webシェル管理ツールを使用して、被害者のサーバー上の Webシェルと通信し、任意のコマンドを実行します。 |
セキュリティソフトウェアへの対抗 | 攻撃者は、セキュリティソフトウェアを無効にしたり、セキュリティ設定を削除しようとします。例としては、Server Guard プログラムの停止やファイアウォールの無効化などがあります。 |
不審なファイルの埋め込み | 攻撃者は、脆弱性を悪用するか、弱いパスワードを使用してログインし、wget、curl、tar、powershell などのコマンドを使用して不審なファイルを書き込みます。 |
悪意のあるファイルの埋め込み | 攻撃者は、脆弱性を悪用するか、弱いパスワードを使用してログインし、wget、curl、tar、powershell などのコマンドを使用して悪意のあるファイルを書き込みます。 |
不審なワームスクリプトの動作 | 攻撃者は、脆弱性を悪用するか、弱いパスワードを使用してログインし、不審なワームスクリプトを埋め込みます。このアラートは、bash、python、perl、powershell などのスクリプトによってトリガーされます。 |
コマンドラインからの悪意のあるファイルのダウンロードと実行 | 攻撃者は、脆弱性を悪用するか、弱いパスワードを使用してログインし、リモートでコマンドを実行し、悪意のあるファイルをダウンロードして埋め込みます。このアラートは、wget、curl、python、powershell などのダウンロードコマンドによってトリガーされます。 |
Web サービスによる高リスク操作 | 攻撃者は、Confluence や Exiftool の脆弱性など、Web の脆弱性を悪用して任意のコマンドを実行します。 |
情報収集 | サービスプログラムが whoami、netstat、id などのホストコマンドを実行してホスト情報を収集し、リモートコマンド実行が成功したかどうかを判断します。 |
クラウドアシスタントの高度な保護 | クラウドアシスタントのトークンが漏洩または盗難される可能性があります。この保護は、クラウドアシスタントが任意のコマンドを実行することを禁止します。 |
不審なネットワーク接続 | 攻撃者は、悪意のあるプログラムを実行するか、システムプログラムを使用してネットワークに接続し、制御側から命令を受け取ることで、被害者のサーバーを制御します。この動作は、DDoS 攻撃、マイニングプログラム、リバースシェルなどに関連しています。 |
難読化されたコマンド | 攻撃者は、ウイルス対策保護をバイパスするために、ホストコマンドを暗号化、エンコード、またはその他の方法で操作します。操作の例には、base64 やその他のエンコーディング方法の使用が含まれます。 |
PowerShell による高リスクコマンドの実行 | 攻撃者は、システムの PowerShell コンポーネントを使用して悪意のあるコマンドを実行します。これらのコマンドには、ペイロードのダウンロードや実行などの悪意のある動作が含まれる場合があります。 |
PowerShell による不審なコマンドの実行 | 攻撃者は、システムの PowerShell コンポーネントを使用して悪意のあるコマンドを実行します。これらのコマンドには、ペイロードのダウンロードや実行などの悪意のある動作が含まれる場合があります。 |
ブラウザサービスによる高リスク操作 | 攻撃者は、エントリサービスを使用して悪意のある操作を実行します。これには、信頼されたシステムコンポーネントを使用してペイロードをリモートでダウンロードまたは実行するなどの悪意のある動作が含まれます。 |
エントリサービスによる不審な操作 | 攻撃者は、エントリサービスを使用して悪意のある操作を実行します。これには、信頼されたシステムコンポーネントを使用してペイロードをリモートでダウンロードまたは実行するなどの悪意のある動作が含まれます。 |
システムプロセスによる高リスク操作 | 攻撃者は、エントリサービスを使用して悪意のある操作を実行します。これには、信頼されたシステムコンポーネントを使用してペイロードをリモートでダウンロードまたは実行するなどの悪意のある動作が含まれます。 |
Java サービスによる高リスク操作 | 攻撃者は、エントリサービスを使用して悪意のある操作を実行します。これには、信頼されたシステムコンポーネントを使用してペイロードをリモートでダウンロードまたは実行するなどの悪意のある動作が含まれます。 |
Office コンポーネントによる高リスク操作 | 攻撃者は、エントリサービスを使用して悪意のある操作を実行します。これには、信頼されたシステムコンポーネントを使用してペイロードをリモートでダウンロードまたは実行するなどの悪意のある動作が含まれます。 |
高リスクドライバーの読み込み | ウイルス、トロイの木馬、またはハッキングツールが、ドライバーモジュールを読み込むことでウイルス対策保護をバイパスします。 |
高リスクなアカウント操作の動作 | 攻撃者は、永続化を達成するために不正なアカウント操作を実行します。 |
悪意のあるコマンドの実行 | 攻撃者は、システムツールを呼び出して、さまざまな悪意のある動作を実行するコマンドやスクリプトを実行します。 |
不審なプロセスの起動 | 不審なウイルスまたはトロイの木馬がプロセスを起動しました。 |
システムバックアップの削除動作 | ランサムウェアがデータ復元を防ぐためにシステムバックアップを削除しているのが検出されました。 |
内部ネットワークスキャン | 攻撃者は、内部ネットワークアセットの弱点をスキャンしたり、同じパスワードでログインを試みたりすることで、侵入の範囲を拡大します。これには、ブルートフォース攻撃、パスワードスプレー、Web 脆弱性スキャンなどの活動が含まれます。 |
サービス自動起動項目の作成 | ウイルスが、レジストリ、定期タスク、またはサービスを使用して永続的な起動項目を作成します。 |
高リスク自動起動項目の作成 | ウイルスが、レジストリ、定期タスク、またはサービスを使用して永続的な起動項目を作成します。 |
定期タスク自動起動項目の作成 | ウイルスが、レジストリ、定期タスク、またはサービスを使用して永続的な起動項目を作成します。 |
レジストリ自動起動項目の作成 | ウイルスが、レジストリ、定期タスク、またはサービスを使用して永続的な起動項目を作成します。 |
WMI 自動起動項目の作成 | ウイルスが、レジストリ、定期タスク、またはサービスを使用して永続的な起動項目を作成します。 |
侵入痕跡の消去 | 攻撃者は、システムログ、コマンド実行記録、またはその他のデータを削除して、侵入の痕跡を破壊しようとします。 |
高リスクな認証情報窃取の動作 | 攻撃者は、Mimikatz などの認証情報窃取ツールを使用してログイン認証情報を盗もうとします。 |
HashDump 攻撃 | 攻撃者は、Procdump などのメモリダンプツールを使用して、ローカルセキュリティ機関 (LSA) プロセスにアクセスし、認証情報データを取得しようとします。 |
ダイナミックリンクライブラリのハイジャック | Security Center は、システムプログラムが不審なダイナミックリンクライブラリファイルを読み込んでいるか、悪意のあるダイナミックリンクライブラリファイルを埋め込んでいることを発見しました。これは、攻撃者がシステム関数をハイジャックするためにダイナミックリンクライブラリファイルをハイジャックしている疑いがあります。Security Center はこの動作を正常にブロックしました。このブロックが誤検知であると思われる場合は、[プロアクティブ防御] - [悪意のある動作の防御] ページで「ダイナミックリンクライブラリのハイジャック」ルールセットを無効にするか、影響を受けるマシンを管理対象ホストから削除することができます。 |
Cknife Webシェル通信 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
Behinder Webシェル通信 | 攻撃者は、Cknife、AntSword、Behinder、Godzilla などの Webシェル管理ツールを使用して、被害者のサーバー上の Webシェルと通信し、任意のコマンドを実行します。 |
Godzilla Webシェル通信 | 攻撃者は、Cknife、AntSword、Behinder、Godzilla などの Webシェル管理ツールを使用して、被害者のサーバー上の Webシェルと通信し、任意のコマンドを実行します。 |
機密レジストリキーの保護 | 永続的な起動項目、グループポリシー設定項目、システムセキュリティ設定項目、イメージファイル実行オプションのハイジャックに対する防御を含む、機密レジストリキーの保護。 |
プロセスインジェクションの保護 | 攻撃者は、検出と防御をバイパスするために、悪意のあるコードを通常のプロセスに注入します。例としては、ptrace インジェクションがあります。 |
プロキシツール | 検出モデルにより、ホスト上でプロキシツールが検出されました。プロキシツールは、攻撃者がプロキシやトンネリングなどの操作に使用し、しばしばサーバーへのさらなる侵入のシナリオで使用されます。 |
クラウドアシスタントサービスの情報収集 | クラウドアシスタントサービスは、whoami、netstat、id などのホストコマンドを実行してホスト情報を収集し、リモートコマンド実行が成功したかどうかを判断します。 |
LSA セキュリティ機関サービスの保護 | ローカルセキュリティ機関サブシステムサービス (LSASS) は、オペレーティングシステムのセキュリティポリシーを担当するプロセスです。攻撃者は、LSASS プロセスのメモリを読み書きすることで悪意のあるアクションを実行できます。この保護ルールは、どのプロセスも VM_READ または VM_WRITE 権限で LSASS プロセスを開くことを禁止します。注意:この保護機能は、デフォルトでブロックし、アラートを生成しないセキュリティ強化機能です。ビジネスで LSASS プロセスのメモリへの読み書きが必要な場合は、この保護ルールを無効にすることができます。 |
エントリサービスが不審なスクリプトまたはバイナリファイルを埋め込む | データベース、Web、またはその他のサービスが不審なスクリプトまたはバイナリファイルを埋め込んでいるのが検出されました。 |
エントリサービスが不審な動作シーケンスを実行 | 攻撃者は、エントリサービスを使用して、ダウンロードコマンドの実行、ファイルの読み書き、情報収集など、一連の悪意のある操作を同じ親プロセスの下で実行します。 |
適応型 Webシェル通信のブロック | 検出モデルにより、サーバー上で悪意のある Webシェル通信トラフィックが検出されました。攻撃者はこの方法を使用してサーバーをリモートコントロールできます。精密防御は、サーバーへの損害を防ぐためにこのネットワークリクエストを正常にブロックしました。 |
Webシェルのアップロード | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
スキャナー | 検出モデルにより、ホスト上でスキャナーが検出されました。スキャナーは、攻撃者が活動中のホスト、オープンポート、および脆弱性や弱いパスワードなどのセキュリティリスクを持つホストを発見するためによく使用されます。これは、さらなる侵入を容易にするために行われることが多いです。 |
Java の一般的な RCE 脆弱性のブロック | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
適応型 Web 攻撃防御 | Security Center は、クラウドベースのインテリジェント分析エンジンを使用して、さまざまな Web リモートコマンド実行 (RCE) 攻撃トラフィックを自動的に識別してブロックし、悪意のあるリクエストがサーバーに損害を与えるのを防ぎます。このブロックが誤検知であると思われる場合は、[プロアクティブ防御] - [悪意のある動作の防御] ページで対応するルールを無効にするか、影響を受けるマシンを管理対象ホストから削除することができます。 |
ダウンローダートロイの木馬 | 検出モデルにより、サーバー上でダウンローダートロイの木馬が検出されました。ダウンローダートロイの木馬は、通常、悪意のあるトロイの木馬やアドウェアなどのサードパーティプログラムをダウンロードして実行します。 |
ホスト防御リンクテスト | このアラートは、ホスト防御リンクが有効かどうかをテストするために使用されます。 |
データベースサービスの情報収集 | データベースサービスプログラムが whoami、netstat、id などのホストコマンドを実行してホスト情報を収集し、リモートコマンド実行が成功したかどうかを判断します。 |
Alibaba Cloud Security プロセスの保護 | Alibaba Cloud Security プロセスへの異常なアクセスからの保護。 |
Webシェルファイルの防御 | Security Center はサーバー上で Webシェルを発見し、攻撃者がそれを使用しようとしています。防御モジュールはこの動作を特定し、精密に防御しました。防御モジュールがアクションを正常にブロックしたとしても、このファイルがバックドアであることを確認した場合は、できるだけ早く手動で隔離または削除する必要があります。このファイルをホワイトリストに追加するには、[緩和設定] > [ホスト保護] > [ホストルール管理] > [カスタム防御ルール] に移動し、このファイルパスのホワイトリストルールを作成します。Webシェルファイル防御機能を無効にするには、[緩和設定] > [ホスト保護] > [ホストルール管理] > [システム防御ルール] > [Webシェルファイル防御] に移動し、スイッチをオフにします。 |
SQL Server のブルートフォース攻撃 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
PHP Webシェルのアップロード | 攻撃者はファイルアップロード機能を使用して PHP Webシェルをアップロードします。Security Center は、.php および .phtml 拡張子を持つファイルのアップロードをブロックします。 |
JSP Webシェルのアップロード | 攻撃者はファイルアップロード機能を使用して JSP Webシェルをアップロードします。Security Center は、.jsp 拡張子を持つファイルのアップロードをブロックします。 |
ASP Webシェルのアップロード | 攻撃者はファイルアップロード機能を使用して ASP Webシェルをアップロードします。Security Center は、.asp、.ashx、.asa、.asmx、.cshtml 拡張子を持つファイルのアップロードをブロックします。 |
特殊な拡張子を持つ Webシェルのアップロード | 攻撃者はファイルアップロード機能を使用して特殊な拡張子を持つ Webシェルをアップロードします。Security Center は、.cer および .ascx 拡張子を持つファイルのアップロードをブロックします。 |
オペレーティングシステムのアカウント動作 | このルールセットは、システムのコアでオペレーティングシステムのアカウント動作をブロックします。デフォルトでは無効になっています。必要に応じて評価し、有効にすることができます。 |
Webシェルアップロードのインテリジェント防御 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
インターフェイス経由の不審なファイルアップロード | 攻撃者は特定のインターフェイスを使用して不審な Webシェルをアップロードします。Security Center はこれらのインターフェイスのアップロード機能をブロックします。 |
情報窃取ツール | 検出モデルにより、ホスト上で情報窃取ツールが検出されました。情報窃取ツールは、ホストからさまざまな機密ファイルや情報を盗むためによく使用されます。 |
システム永続プロセスのアクセス保護 | システムの永続プロセスとサービスは、システムのコア機能を担っています。攻撃者はしばしば、高リスクの権限でシステムプロセスにアクセスして悪意のあるアクションを実行します。この保護ルールは、どのプロセスも高リスクの権限でシステム永続プロセスにアクセスすることを禁止します。これには、スレッドの作成、ハンドルのコピー、メモリ操作が含まれます。注意:この保護機能は、デフォルトでブロックし、アラートを生成しないセキュリティ強化機能です。ビジネスでシステム永続プロセスへのアクセスが必要な場合は、この保護ルールを無効にすることができます。 |
RDP ブルートフォース攻撃 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
SSH ブルートフォース攻撃 | 精密防御は攻撃の試みを検出し、サーバーへの損害を防ぐためにネットワークリクエストを正常にブロックしました。このアラートは、サーバーが侵害されたことを意味するものではありません。 |
悪意のあるドライバー | 攻撃者は、悪意のあるコードをインストールまたはコンパイルしたり、.ko または .sys ドライバーファイルを読み込んだり、その他の方法でルートキットをインストールします。 |
ランサムウェア | システムディスク上で不審なファイルが検出されました。処理する前に、ファイルの正当性を確認することを推奨します。 |
信頼されていないプロセスの起動 | ホワイトリストにないプロセスの起動がブロックされました。 |
信頼されていないプロセスチェーンの異常な起動 | 信頼されていないプロセスチェーン内のプロセスの異常な起動がブロックされました。 |
信頼されていないプロセスによる高リスクなネットワーク操作 | ホワイトリストにないプロセスが、パブリックまたは内部ネットワークの IP アドレスに異常にアクセスすることがブロックされました。 |
信頼されていないプロセスによる高リスクなファイル操作 | ホワイトリストにないプロセスによる高リスクな操作がブロックされました。例としては、Office ドキュメントや重要なシステム設定ファイルの異常な変更などがあります。 |
ネットワークリクエストのブロック | 異常なネットワークリクエストが検出されました。精密防御は、ホストへの損害を防ぐためにリクエストを正常にブロックしました。このアラートは、ホストが侵害されたことを意味するものではありません。 |
Suspicious Process Behavior
アラート名 | 説明 |
リバースシェル | Security Center は、サーバー上でリバースシェルコマンドが実行されたことを検出しました。攻撃者はこの方法を使用して、自身のサーバーとのリバースネットワーク接続を確立し、それを通じて任意のコマンドを実行できます。 |
Java アプリケーションでの異常なコマンド実行 | 検出モデルにより、サーバー上の Java プロセスが悪意のあるプログラムのダウンロードやバックドアの追加などの高リスクな動作を開始したことが検出されました。これは、脆弱な Web フレームワークやミドルウェアを使用していることが原因である可能性があります。 |
MySQL での異常なコマンド実行 | 検出モデルにより、MySQL サービスが不審なコマンドを実行したことが検出されました。これは、MySQL サービスの弱いパスワードや、Web サービスでの SQL インジェクションが原因である可能性があります。 |
PostgreSQL アプリケーションでの異常なコマンド実行 | 検出モデルにより、PostgreSQL サービスが不審なコマンドを実行したことが検出されました。これは、PostgreSQL サービスの弱いパスワードや、Web サービスでの SQL インジェクションが原因である可能性があります。 |
Redis の設定ミスによる悪用 | 検出モデルにより、サーバー上の Redis アプリケーションがディスクに不審なファイルを書き込んだことが検出されました。これは、攻撃者が空または弱い Redis パスワードを通じて悪意のある SQL コマンドを実行したことが原因である可能性があり、これにより攻撃者がサーバーに直接アクセスできるようになる可能性があります。 |
パスワードなしログイン証明書の不審な書き込み | Alibaba Cloud Security は、サーバーのルート証明書ディレクトリで異常なファイル変更を検出しました。これは、攻撃者が後続のログイン攻撃のためにサーバーにパスワードなしの証明書を注入しようとしている可能性があります。 |
HTTP トンネル経由の不審な情報漏洩 | 検出モデルにより、サーバー上でコマンド実行の結果が HTTP チャネルを介して外部サーバーに送信される動作が検出されました。これは、攻撃者がリモートコマンド実行 (RCE) 脆弱性を介して実行したコマンドの結果を自身のサーバーに返している可能性があります。 |
Postgres のエクスポート機能を悪用して書き込まれた不審な UDF ライブラリファイル | 検出モデルにより、サーバー上の Postgres アプリケーションがディスクに不審な .so ファイルを書き込もうとしていることが検出されました。これは、攻撃者が弱い Postgres パスワードでログインし、悪意のある SQL コマンドを実行したことが原因である可能性があります。このファイルにより、攻撃者がサーバーを制御できるようになる可能性があります。 |
MySQL のエクスポート機能を悪用して書き込まれた不審なファイル | 検出モデルにより、サーバー上の MySQL アプリケーションが機密ディレクトリにファイルを書き込もうとしていることが検出されました。これは、攻撃者が弱いパスワードまたは Web アプリケーションを介して悪意のある SQL コマンドを実行したことが原因である可能性があります。 |
不審な CMD コマンドシーケンス | 検出モデルにより、システム上のプロセスが一連の不審なコマンドを実行したことが検出されました。これらのコマンドは、侵入後に攻撃者が通常実行するコマンドシーケンスと非常に似ています。これらのコマンドの親プロセスを調査することを推奨します。これは、リモートコントロールトロイの木馬、脆弱な Web サービス、または悪意のあるコードが注入された正規のプロセスである可能性があります。 |
Windows アカウントでの異常な操作 | 検出モデルにより、このコマンドがシステムアカウントを操作しているコンテキストが不審であることが検出されました。これは、マルウェアまたは攻撃者によるユーザーアカウント操作である可能性があります。 |
不審なスクリプト操作 | 検出モデルにより、マシン上のこのコマンドがスクリプトに関連しており、非常に不審であることが検出されました。マルウェアやサイバー攻撃に非常に関連している可能性があります。 |
異常なレジストリ操作 | 検出モデルにより、マシン上でこのコマンドがレジストリを操作する方法が非常に不審であることが検出されました。侵入後にマルウェアや攻撃者による設定変更である可能性があります。 |
不審なコマンド実行 | 検出モデルにより、サーバー上で実行されたプロセスのコマンドラインが非常に不審であることが検出されました。トロイの木馬、ウイルス、またはハッキング行為に非常に関連している可能性があります。 |
Windows での不審な難読化コマンド | ホストで実行されたコマンドラインが難読化されている可能性が検出されました。マルウェアの実行やハッキングプロセスでは、セキュリティ検出をバイパスするために、大文字と小文字のバリエーションや特殊文字を使用してコマンドラインを難読化することがよくあります。 |
不審なプロセスパス | 検出モデルにより、サーバー上のプロセスが異常なパスから起動したことが検出されました。通常のソフトウェアは通常、このようなディレクトリには配置されません。このプロセスは、ウイルス、トロイの木馬、またはサイバー攻撃中に配置されたツールである可能性があります。 |
不審なエンコードコマンド | 検出モデルにより、サーバー上で実行されたプロセスのコマンドラインが非常に不審であることが検出されました。トロイの木馬、ウイルス、またはハッキング行為に非常に関連している可能性があります。 |
Linux での不審なコマンドシーケンス | 検出モデルにより、システム上のプロセスが一連の不審なコマンドを実行したことが検出されました。これらのコマンドは、侵入後に攻撃者が通常実行するコマンドシーケンスと非常に似ています。これらのコマンドの親プロセスを調査することを推奨します。これは、リバースシェル、リモートコントロールトロイの木馬、脆弱な Web サービス、または悪意のあるコードが注入された正規のプロセスである可能性があります。 |
システムログの異常な削除 | 検出モデルにより、システム上のプロセスがシステムログを削除しようとしていることが検出されました。マルウェアや攻撃者は、検出を回避するためにシステムログを消去することがよくあります。 |
システムバックアップの異常な削除 | 検出モデルにより、システム上のプロセスがシステムバックアップファイルを削除しようとしていることが検出されました。これは、ランサムウェアがファイルの復元を防いで身代金を強要しようとしている可能性があります。 |
システムセキュリティ設定の異常な変更 | 検出モデルにより、マシン上のプロセスがシステムセキュリティ設定を変更したことが検出されました。これは、マルウェアや攻撃者が検出を回避するためにファイアウォールやウイルス対策ソフトウェアの設定を変更している可能性があります。 |
システムツールへの異常な呼び出し | 検出モデルにより、システム上のプロセスが不審な方法でシステムツールを呼び出していることが検出されました。トロイの木馬や攻撃者は、従来のセキュリティソフトウェアをバイパスして、悪意のあるファイルのダウンロード、データの暗号化または復号化、悪意のあるコードの読み込みなどの悪意のあるアクションを実行するためによくこの方法を使用します。 |
起動項目の異常な変更 | 検出モデルにより、マシン上のプロセスがシステムの自動起動項目を変更しようとしていることが検出されました。これは、トロイの木馬や攻撃者が永続性を維持するために起動項目を使用している可能性があります。 |
不審なプロービングコマンド | 不審なプロービングコマンド。 |
コンテナ内での不審なコマンド実行 | 検出モデルにより、コンテナ内で異常なコマンド実行が検出されました。これは侵入リスクを示します。 |
悪意のあるコンテナイメージの実行 | 検出モデルにより、サーバーが悪意のあるコンテナイメージを実行していることが検出されました。このイメージには、バックドア、マイニングプログラム、ウイルス、または既知の重大な脆弱性が含まれている可能性が非常に高いです。速やかに調査し、信頼できるイメージリソースを使用してください。 |
コンテナ内での権限昇格またはエスケープ | Security Center は、コンテナ内で権限昇格やエスケープの試みなどの不審な動作を検出しました。これは、docker.sock へのアクセス、エスケープツールの使用、cgroup の作成などのアクションで一般的です。これが通常のビジネス運用である可能性もあります。O&M 操作または通常のビジネス機能である場合は、アラートを無視するか、誤検知としてマークすることができます。 |
特権コンテナの起動 | 検出モデルにより、サーバー上で不審な特権コンテナが起動していることが検出されました。特権コンテナは、コンテナランタイムのセキュリティを低下させます。侵害された場合、ホストサーバー上の他のコンテナやアセットを危険にさらす可能性があります。特権コンテナが信頼できるイメージソースを使用し、実行中のサービスが侵害されにくいことを確認してください。 |
危険な Docker リモートデバッグインターフェイス | 検出モデルにより、Docker リモートデバッグインターフェイスが 0.0.0.0 に公開されていることが検出されました。パブリックネットワークに公開された Docker リモートデバッグインターフェイスは、ワームによってすぐに侵害されます。内部ネットワークのみに公開する場合でも、内部ネットワークに侵入した後のラテラルムーブメントに攻撃者がよく使用するため、この危険な設定を悪用してより多くのコンテナリソースを制御するリスクがあります。 |
権限昇格の疑い | 検出モデルにより、サーバー上のプロセスがシステムまたはアプリケーションの脆弱性を悪用してより高い権限を取得しようとしているように見えることが検出されました。これは、侵入中に攻撃者による権限昇格の試みである可能性があります。 |
異常なコンテナ動作 | Security Center は、コンテナ内での手動操作 (ソフトウェアのインストール、スクリプトの実行、コンテナ環境の調査など) を検出しました。これは、コンテナを侵害した後の攻撃者によるラテラルペネトレーションや権限昇格で一般的です。これが通常のビジネスまたは O&M 要件である可能性もあります。このアラートが誤検知であると判断した場合は、アラート処理ページで「ホワイトリストに追加」または「無視」を選択できます。 |
コンテナがネットワークスキャン動作を開始 | 検出モデルにより、コンテナがプロアクティブに不審なネットワークスキャン動作を開始していることが検出されました。これは、攻撃者がディープペネトレーションやラテラルムーブメントに使用する方法である可能性があります。 |
コンテナ内での認証情報収集 | 検出モデルにより、コンテナ内の機密ファイル (Docker、Swarm、Kubernetes の設定ファイル、データベース接続設定、ログイン認証情報、API AccessKey、証明書、秘密鍵ファイルなど) へのアクセスが検出されました。侵入イベントやデータ侵害のリスクがないか、速やかに確認してください。 |
高リスクなコンテナ操作 | 検出モデルにより、サーバーが高リスクなコンテナ操作を実行していることが検出されました。具体的な理由については、アラートの詳細を参照してください。この動作を調査してください。O&M 操作または通常のビジネス機能である場合は、アラートを無視するか、誤検知としてマークすることができます。 |
ファイル時刻の改ざん | 検出モデルにより、サーバー上のプロセスがファイルのタイムスタンプを改ざんしようとしていることが検出されました。これは、攻撃者が通常のシステムファイルの時刻を模倣して、異常なファイルの真の作成、アクセス、または変更時刻を偽造することで検出を回避しようとしている可能性があります。 |
ネットワークプロキシ転送動作 | 検出モデルにより、サーバー上でリスクツールの異常な呼び出しが検出されました。リスクツールは、攻撃者がプロキシ、トンネル、スキャンツールとして、サーバーへのさらなる侵入のシナリオで使用します。 |
Kubernetes システムコンテナへの偽装 | Security Center は、サーバー上で docker コマンドが実行され、Kubernetes 内部サービスに偽装したコンテナが起動されたことを検出しました。これは、攻撃者がバックドアコンテナを展開し、検出を回避するために Kubernetes 内部コンテナの名前を付ける場合によく見られます。 |
コンテナー内での機微な手動操作 | Security Center は、コンテナ内での手動操作 (ソフトウェアのインストール、スクリプトの実行、コンテナ環境の調査など) を監視しました。これは、コンテナに侵入した攻撃者が、ラテラルペネトレーションのためにコンテナの環境を充実させる必要がある場合によく見られます。また、O&M 担当者によるテスト中にも見られます。このアラートに関与する動作が承認された操作であるかどうかを判断してください。O&M 操作である場合は、ホワイトリストルールを使用してこのアラートを除外できます。 |
コンテナ環境での不審なプロービングコマンドシーケンス | Security Center は、コンテナ環境で実行された一連の不審なコマンドを検出しました。これは、コンテナ内にアクセスした攻撃者が、権限昇格とラテラルムーブメントを達成するために、コンテナのホスト環境、クラスター情報、およびコンテナエスケープの条件を調査する場合によく見られます。これらのアクションは比較的小さいため、通常のビジネスまたは O&M 要件の一部である可能性もあります。ソース IP のこのリソースへのアクセスと操作が、通常のビジネスまたは O&M 要件の一部であるかどうかを速やかに調査してください。 |
ワームコマンド | ワームコマンド。 |
侵入テストツールの悪用動作 | 侵入テストツールの悪用動作。 |
スキャンツールの呼び出し | スキャンツールの呼び出し。 |
不審なイメージの起動 | Security Center は、サーバーが不審なイメージを使用してコンテナを起動したことを発見しました。これは、攻撃者がサービス脆弱性を悪用してコンテナのスケジューリングを制御し、マイニング、バックドアなどのために悪意のあるイメージを埋め込むシナリオで一般的です。速やかに調査してください。通常のビジネス要件である場合は、無視するか、誤検知としてマークすることができます。Security Center は、クラウド上の悪意のあるイメージの伝播をリアルタイムで感知し、インターネット上のパブリックイメージリポジトリを分析することで、悪意のあるイメージインテリジェンスライブラリを構築します。イメージスキャン機能を使用して、イメージ内の脆弱性、悪意のあるファイルなどを検出できます。 |
不審な PowerShell 命令 | 攻撃者は、悪意のあるファイルのダウンロード、ディスクにドロップせずに悪意のあるファイルの永続的な実行、リバースシェルの作成などの悪意のある活動に PowerShell をよく使用します。 |
不審なファイル埋め込み動作 | 不審なファイル埋め込み動作。 |
LSASS メモリダンプ | 検出モデルにより、サーバー上で we や minikazi などのマルウェアが実行されていることが検出されました。このツールはシステムアカウントのハッシュを抽出でき、アカウントパスワードの漏洩につながる可能性があります。 |
オペレーティングシステムの ID 認証情報の抽出 | (特定の検出原理はありません。) |
不審なプロセス動作シーケンス | プロセスが複数の不審な子プロセスを起動しているのが検出されました。このプロセスは、攻撃者によって攻撃されている脆弱なアプリケーションサービスであるか、プロセス自体が悪意のあるものである可能性があります。 |
メモリから動的に読み込まれたファイルの実行 | メモリから動的に読み込まれたファイルの実行。 |
プロセスインジェクションの疑い | このプロセスは別のプロセスにコードを注入しました。これは、検出をバイパスしたり、権限を昇格させたり、メモリ内の機密情報にアクセスしたりするために、他のプロセスのコンテキストでコードを実行しようとしている可能性があります。 以下の対策を講じることを推奨します: 1. プロセスとターゲットプロセスのファイルを確認します。それらが正規のファイルでない場合は、プロセスを強制終了し、ファイルを隔離します。正規のプロセスである場合は、通常のビジネスに影響を与えずにプロセスを再起動または強制終了します。 2. このマシンの他のアラート情報と組み合わせて、この侵入イベントがビジネスに与える潜在的な影響を包括的に評価し、他の対応策を講じます。 3. この侵入イベントの原因を分析し、セキュリティ脆弱性を修正しようとします。 |
Web アプリケーションが異常な子プロセスを作成 | (特定の検出原理はありません。)。 |
内部ネットワークのラテラルアタックの疑い | 内部ネットワークのラテラルアタックの疑い。 |
永続化バックドアの作成動作 | 永続化バックドアの作成動作。 |
永続化バックドアの起動動作 | 永続化バックドアの起動動作。 |
プロセスコマンドラインの難読化 | ホスト上のプロセスのコマンドラインに難読化されたエンコーディングが含まれていることが検出されました。これは、悪意のあるプログラムまたは攻撃者がセキュリティ検出をバイパスしようとしている可能性が非常に高いです。 |
クラウド環境の情報収集 | クラウド環境の情報収集。 |
異常な定期タスクの実行 | システムの定期タスクコンポーネントによって不審なプロセスが作成されているのが検出されました。これは、悪意のあるプログラムまたは攻撃者が、ホストアクセスを取得した後に、永続性を維持するために悪意のあるコードを定期タスクに追加したことが原因である可能性があります。 |
SSH バックドア | Secure Shell (SSH) に関連するバックドアプロセスが検出されました。Linux ホストにアクセスした後、悪意のあるプログラムや攻撃者は、関連するファイルや設定を変更して、SSH プログラムを通じてログインバックドアを残すことがあります。 |
エディター拡張機能のバックドア | エディター拡張機能コンポーネントに関連する不審なバックドアプログラムが検出されました。悪意のあるプログラムや攻撃者は、通常のエディターの拡張機能を使用してバックドアプログラムを隠すことがあります。 |
ファイル改ざんによるエスケープの疑い | Security Center は、重要なファイルを「書き込みモード」で開くアクションを検出しました。これは、ファイルを改ざんしてコンテナからホストにエスケープするシナリオで一般的です。プロセス、操作されたファイル、およびファイルのオープンプロパティが通常のビジネス操作から発生しているかどうかを重点的に調査できます。O&M 操作または通常のビジネス機能である場合は、アラートを無視するか、誤検知としてマークすることができます。 |
帯域外 (OOB) 攻撃ドメイン名のリクエスト | ホスト上のプロセスが、帯域外データ漏洩によく使用されるドメイン名をリクエストしているのが検出されました。攻撃者は、ペイロードで、悪用が成功した場合にターゲットドメイン名をリクエストするように指定することがよくあります。その後、特定のドメイン名がリクエストされたかどうかを観察することで、攻撃が成功したかどうかを判断します。 |
異常な疑似端末シェル作成動作 | (特定の検出原理はありません。) |
不審なマイニングプールドメイン名へのアクセス | ホスト上のプロセスが不審なマイニングプールドメイン名をリクエストしているのが検出されました。これは、マシンがマイニングプールと通信している可能性があることを意味します。アラートと推奨されるアクションに基づいて、マイニング動作をさらに調査してください。 |
コンテナエスケーププログラムの起動 | Usermode Helper API は、Linux カーネルで、/proc/sys/kernel/core_pattern などのファイルを通じて指定されたユーザー空間プログラムなど、ユーザー指定のユーザー空間プログラムを呼び出すためのメカニズムです。このプログラムが実行されると、ホストのルート権限を持ちます。このカーネルメカニズムは、通常、コンテナでは使用すべきではありません。したがって、コンテナ内のプログラムがホストカーネルによって呼び出されると、通常はエスケープ動作を表します。 |
権限昇格のための Windows トークン改ざん | 権限昇格のための Windows トークン改ざん |
不審なトンネルドメイン名へのアクセス | ホスト上のプロセスが不審なトンネルドメイン名をリクエストしているのが検出されました。これは、マシンがトンネルプロキシ通信を行っている可能性があることを意味します。アラートと推奨されるアクションに基づいて、さらに調査してください。 |
システムファイルの異常な変更 | システムファイルの異常な変更。 |
レジストリ自動起動項目の変更 | レジストリ自動起動項目の変更。 |
定期タスクの変更動作 | 定期タスクの変更動作。 |
不審なシステムポリシー変更動作 | 不審なシステムポリシー変更動作。 |
Web アプリケーションが異常なファイルを変更 | Web アプリケーションが異常なファイルを変更。 |
親プロセスのなりすまし | 親プロセスのなりすまし。 |
コンテナが高リスクなホストパスをマウント | コンテナが高リスクなホストパスをマウント。 |
環境変数を使用した制御フローのハイジャック | 環境変数を使用した制御フローのハイジャック。 |
Webshell
アラート名 | 説明 |
Webシェルファイルの検出 | 検出モデルにより、サーバー上で不審な Webシェルファイルが検出されました。これは、Web サイトを正常に侵害した後にアクセスを維持するために攻撃者によって埋め込まれたバックドアファイルである可能性があります。 |
Webシェルコードを含むログまたはイメージファイル | 検出モデルにより、サーバー上のファイルに Webシェルコードが挿入されていることが検出されました。これは、攻撃者がファイルインクルージョン脆弱性を悪用しようとしている可能性があります。 |
任意ファイル書き込みバックドアの検出 | Security Center は、システムディスク上で任意のファイル書き込みにつながる可能性のあるファイルを検出しました。これは、ネットワーク侵入が成功した後に攻撃者によって埋め込まれたか、管理者所属の O&M ファイルである可能性があります。まずファイルの正当性を確認してから処理することを推奨します。 |
情報窃取バックドアの検出 | Security Center は、システムディスク上で情報窃取につながる可能性のあるファイル (データベース操作ログなど) を検出しました。これは、ネットワーク侵入が成功した後に攻撃者によって埋め込まれたか、管理者所属の O&M ファイルである可能性があります。まずファイルの正当性を確認してから処理することを推奨します。 |
トロイの木馬またはホットリンクバックドアファイルの検出 | 検出モデルにより、システムディスク上で不審なトロイの木馬ファイルが検出されました。これは、Web サイトを正常に侵害した後に攻撃者によって埋め込まれた可能性があります。このファイルは、トラフィックの悪意のあるリダイレクトなどの危険な動作を示します。まずファイルの正当性を確認してから処理することを推奨します。管理者によって展開された場合は、コンソールで無視するか、誤検知としてマークすることを選択できます。 |
DLL 型 Web バックドアの検出 | 検出モデルにより、サーバー上で不審な Webシェルファイルが検出されました。これは、Web サイトを正常に侵害した後にアクセスを維持するために攻撃者によって埋め込まれたバックドアファイルである可能性があります。 |
Unusual Logon
アラート名 | 説明 |
異常な場所からの ECS インスタンスへのログイン | ログイン場所が、定義した正規のログイン場所の範囲外です。ログインの正当性を確認してください。 |
異常な IP アドレスからの ECS インスタンスへのログイン | ログイン IP アドレスが、定義した正規の IP アドレスの範囲外です。ログイン動作の正当性を確認してください。 |
異常なアカウントによる ECS インスタンスへのログイン | ログインアカウントが、定義した正規のアカウントの範囲外です。ログイン動作の正当性を確認してください。 |
異常な時間帯の ECS インスタンスへのログイン | ログイン時間が、定義した正規のログイン時間範囲外です。ログイン動作の正当性を確認してください。 |
ECS インスタンスへのブルートフォース攻撃の成功 | 複数回のパスワード試行失敗の後、ECS インスタンスへのログインに成功しました。システムは、攻撃者がパスワードを推測したと予備的に判断します。 |
ECS インスタンスへのブルートフォース攻撃の成功 (SSH) | 検出モデルにより、サーバーが SSH ブルートフォース攻撃を受けており、攻撃者が一定回数の試行の後に SSH サービスパスワードを推測してシステムに正常にログインしたことが検出されました。 |
ECS インスタンスへのブルートフォース攻撃の成功 (RDP) | 検出モデルにより、サーバーが RDP ブルートフォース攻撃を受けており、攻撃者が一定回数の試行の後に RDP サービスパスワードを推測してシステムに正常にログインしたことが検出されました。 |
ECS ログイン後に実行された異常なコマンドシーケンス (SSH) | 検出モデルにより、IP アドレスがサーバーにログインした後、一連の悪意のあるコマンドが実行されたことが検出されました。これは、弱いまたは漏洩したサーバーパスワードが攻撃者によってログインとコマンド実行に使用された可能性が非常に高いです。 |
異常なアカウントログイン | モデルは、異常なアカウントを管理者ユーザーグループに追加し、このアカウントにログインアクティビティがあることを検出しました。これがお客様の操作でない場合は、できるだけ早くこのアカウントを削除してください。 |
悪意のある IP アドレスからのログイン | 検出モデルにより、サーバーが悪意のある IP アドレスから正常にログインされたことが検出されました。この IP アドレスには、悪意のある攻撃行動の履歴があります。これがお客様のログインでない場合は、できるだけ早く ECS パスワードを変更してください。 |
バックドアアカウントのログイン | 検出モデルにより、以前に攻撃者によってサーバーに埋め込まれたバックドアアカウントが、たった今正常にログインされたことが検出されました。これがお客様の操作でない場合は、できるだけ早くこのアカウントを削除してください。 |
外部へのログインスキャン活動の疑い | 検出モデルにより、サーバーが SSH、RDP、SMB などのプロトコルのアウトバウンドブルートフォーススキャンを頻繁に開始していることが検出されました。これは、サーバーが攻撃者によって侵害され、他のマシンを攻撃するための踏み台として使用されている可能性があります。 |
ECS インスタンスへのブルートフォース攻撃の成功 (複数の無効なユーザー) | 検出モデルにより、IP アドレスが複数の無効なユーザー名でサーバーにログインしようとし、最終的に成功したことが検出されました。これがお客様のログインでない場合は、できるだけ早く ECS パスワードを変更してください。 |
悪意のある IP アドレスからのログイン (MySQL) | 検出モデルにより、サーバー上の MySQL アプリケーションが悪意のある IP アドレスから正常にログインされたことが検出されました。この IP には、悪意のある攻撃行動の履歴があります。これがお客様のログインでない場合は、できるだけ早く MySQL パスワードを変更してください。 |
悪意のある IP アドレスからのログイン (FTP) | 検出モデルにより、サーバー上の FTP アプリケーションが悪意のある IP アドレスから正常にログインされたことが検出されました。この IP には、悪意のある攻撃行動の履歴があります。これがお客様のログインでない場合は、できるだけ早く FTP パスワードを変更してください。 |
悪意のある IP アドレスからのログイン (SQL Server) | 検出モデルにより、サーバー上の SQL Server アプリケーションが悪意のある IP アドレスから正常にログインされたことが検出されました。この IP には、悪意のある攻撃行動の履歴があります。これがお客様のログインでない場合は、できるだけ早く SQL Server パスワードを変更してください。 |
Malware
アラート名 | 説明 |
トロイの木馬プログラム | 検出モデルにより、サーバー上でトロイの木馬プログラムが検出されました。トロイの木馬プログラムは、ユーザーのホストに侵入するために特別に設計されています。通常、システムに埋め込まれるために偽装し、その後、他の悪意のあるプログラムをダウンロードしてリリースします。 |
不審な C2 トロイの木馬通信 | 悪意のある C2 トロイの木馬プログラム。 |
DDoS トロイの木馬 | 検出モデルにより、サーバー上で実行されている DDoS トロイの木馬が検出されました。DDoS トロイの木馬は、侵害されたホストから命令を受け取り、攻撃者が指定したターゲットに対して DDoS 攻撃を開始する悪意のあるプログラムです。 |
ランサムウェア | 検出モデルにより、サーバー上で実行されているランサムウェアが検出されました。ランサムウェアは、ホスト上のすべての重要なデータファイルを暗号化して身代金を要求する悪意のあるプログラムです。 |
バックドアプログラム | 検出モデルにより、サーバー上で実行されているバックドアプログラムが検出されました。バックドアプログラムは、システムに埋め込まれた永続的なプログラムで、攻撃者がホストへの継続的なアクセスを維持できるようにします。 |
感染型ウイルス | 検出モデルにより、サーバー上で実行されている感染型ウイルスが検出されました。感染型ウイルスは、ウイルス本体が通常のプログラムファイルに悪意のあるコードを注入して実行する高度な悪意のあるプログラムです。その結果、多くの通常のプログラムが感染し、ホストとして検出されます。 |
ワーム | 検出モデルにより、サーバー上で実行されているワームが検出されました。ワームは、侵害されたホストから他のホストへのラテラルムーブメント攻撃に使用されるプログラムです。脆弱性の悪用やパスワードのクラッキングなどの活動を伴うことがよくあります。 |
悪意のあるプログラム | 検出モデルにより、サーバー上で実行されている悪意のあるプログラムが検出されました。悪意のあるプログラムは、さまざまな悪意のある動作特性を持つプログラム、または中断や損害を引き起こすサードパーティプログラムです。 |
マイニングプログラム | 検出モデルにより、サーバー上で実行されているマイニングプログラムが検出されました。マイニングプログラムは、ホストのコンピューティングリソースを占有して仮想通貨を採掘するプログラムです。これは、しばしば高い CPU 使用率と、ホスト上の他の関連する悪意のあるプログラムの存在をもたらします。 |
不審なプログラム | 検出モデルにより、サーバー上で実行されている不審なプログラムが検出されました。不審なプログラムは、通常、いくつかの悪意のあるコード特性または非常に不審な動作を持ち、まだ明確に分類されていません。提供された情報に基づいて評価する必要があります。 |
高リスクプログラム | クラウドスキャン (高リスクプログラム)。 |
自己増殖型トロイの木馬 | 検出モデルにより、サーバー上で実行されている自己増殖型トロイの木馬が検出されました。自己増殖型トロイの木馬は、自己変異能力を持つトロイの木馬プログラムです。自身のハッシュを変更したり、多くの異なるパスに自身をコピーしてバックグラウンドで実行したりして、駆除を回避します。 |
汚染された基本ソフトウェア | 検出モデルにより、サーバー上で汚染された基本ソフトウェアが検出されました。汚染された基本ソフトウェアは、特殊なタイプの悪意のあるプログラムで、通常は悪意のあるコードが注入された通常のシステムプログラムです。元の基本ソフトウェアの機能を保持していますが、隠れた悪意のある動作があります。 |
脆弱性攻撃プログラム | 検出モデルにより、サーバー上で実行されている脆弱性攻撃プログラムが検出されました。脆弱性攻撃プログラムは、オペレーティングシステムやアプリケーションの既知の脆弱性を攻撃または攻撃しようとして、権限昇格、エスケープ、任意コード実行などの目的を達成するために使用されます。 |
ハッキングツール | 検出モデルにより、サーバー上でハッキングツールが検出されました。ハッキングツールは、侵入中に攻撃者が権限昇格、機密データの窃取、セキュリティソフトウェアのアンインストール、または侵入後にシステムに埋め込まれたバックドアプログラムとして使用します。 |
ルートキット | 検出モデルにより、サーバー上でルートキットが検出されました。ルートキットは、自身のまたは他の悪意のあるプログラムの痕跡を隠すために、システムのコアに埋め込まれた悪意のあるモジュールです。 |
ルートキットカーネルモジュール | 検出モデルにより、サーバー上でルートキットが検出されました。ルートキットは、自身のまたは他の悪意のあるプログラムの痕跡を隠すために、システムのコアに埋め込まれた悪意のあるモジュールです。 |
非常に不審なプログラム | 検出モデルにより、サーバー上で実行されている不審なプログラムが検出されました。不審なプログラムは、通常、いくつかの悪意のあるコード特性または非常に不審な動作を持ち、まだ明確に分類されていません。提供された情報に基づいて評価する必要があります。 |
リスクウェア | 検出モデルにより、クラウドホスト上でリスクウェアが検出されました。リスクウェアは、必ずしも真に悪意のあるプログラムではありません。通常のソフトウェアツールである可能性があります。しかし、ホストに脅威をもたらす可能性のあるいくつかの機能を持っています。サイバー攻撃で悪意のある人物によって使用された場合、害を及ぼす可能性があります。一般的なリスクウェアには、プロセス管理ツール、システムサービス管理ツール、リモート管理ツールなどがあります。具体的な状況は、ユーザーが情報に基づいて判断する必要があります。 |
ダウンローダートロイの木馬 | 検出モデルにより、サーバー上でダウンローダートロイの木馬が検出されました。ダウンローダートロイの木馬は、通常、悪意のあるトロイの木馬やアドウェアなどのサードパーティプログラムをダウンロードしてリリースします。 |
プロキシツール | 検出モデルにより、ホスト上でプロキシツールが検出されました。プロキシツールは、攻撃者がプロキシやトンネリングに使用し、しばしばサーバーへのさらなる侵入のシナリオで使用されます。 |
エンジンテストプログラム | 検出モデルにより、ホスト上でエンジンテストプログラムが検出されました。このプログラムは、ウイルス検出エンジンが正常に動作しているかどうかを確認するためによく使用されます。 |
情報窃取ツール | 検出モデルにより、ホスト上で情報窃取ツールが検出されました。情報窃取ツールは、ホストからさまざまな機密ファイルや情報を盗むためによく使用されます。 |
スキャナー | 検出モデルにより、ホスト上でスキャナーが検出されました。スキャナーは、攻撃者が活動中のホスト、オープンポート、および脆弱性や弱いパスワードなどのセキュリティリスクを持つホストを発見するためによく使用され、しばしばさらなる侵入シナリオのために使用されます。 |
ランサムウェア | システムディスク上で不審なファイルが検出されました。まずファイルの正当性を確認してから処理することを推奨します。 |
アドウェア | 検出モデルにより、サーバー上でアドウェアが検出されました。アドウェアは、通常、通常のソフトウェアに埋め込まれ、通常のサーバー使用を妨げ、余分なリソースを消費します。 |
難読化されたプログラム | 検出モデルにより、サーバー上で難読化されたプログラムが検出されました。高度なマルウェアは、検出を回避するために自身を難読化することがよくあります。 |
クラッキングプログラム | 検出モデルにより、サーバー上でクラッキングプログラムが検出されました。このようなクラッキングプログラムのソースは不明であり、潜在的なセキュリティリスクをもたらす可能性があります。 |
プライベートサーバツール | 検出モデルにより、サーバー上でプライベートサーバツールが検出されました。プライベートサーバツールは、一般的にゲームやチートのシナリオで使用され、悪意のあるコードが含まれている可能性があります。 |
リバースシェルバックドア | クラウドスキャン (リバースシェルバックドア)。 |
悪意のあるドキュメント | 検出モデルは、悪意のあるドキュメントファイルを特定しました。悪意のあるドキュメントは、攻撃者がフィッシング攻撃に使用し、ユーザーを誘い込んでクリックさせ、悪意のあるペイロードを実行させて制御を得るために使用されます。 |
Cloud Service Threat Detection
アラート名 | 説明 |
RAM ユーザーの異常ログイン | このアラートは、アカウント下の RAM ユーザーが異常な場所からログインしたことを意味します。このタイプのアラートは、ログイン場所を変更したときに発生する可能性があります。ログインリクエストが通常のビジネスニーズでない場合、攻撃者がアカウントのユーザー名とパスワードを取得した可能性があります。 |
AccessKey を使用する悪意のある IP アドレス | システムは、悪意のある IP アドレスが AccessKey を使用していることを検出しました。これが自身の操作でないことを確認した場合は、できるだけ早く AccessKey を無効にして交換してください。 |
OSS への不審なアクセス | このアラートは、ユーザーが OSS ツールを使用してバケットに異常にアクセスしたことを意味します。これは、呼び出し元の IP アドレスが変更されたか、API 呼び出しが失敗したことが原因である可能性があります。リクエストのソース IP とツールの操作が通常のビジネスニーズの一部であるかどうかを確認してください。そうでない場合、攻撃者が OSS バケットの制御権を得た可能性があります。 |
クラウドアシスタントからの異常なコマンド | 検出モデルにより、クラウドアカウントがクラウドアシスタント OpenAPI を介してサーバー上でコマンドを呼び出し、そのコマンドの内容が悪意のあるものであることが検出されました。攻撃者が AccessKey を取得して悪意のある操作を実行している可能性が非常に高いです。 |
異常な AccessKey 呼び出し | システムは、AccessKey による異常な呼び出し動作を検出しました。 |
ECS インスタンスロールの認証情報が外部から呼び出される | モデルは、ECS インスタンスに付与したロールのセキュリティトークンサービス (STS) 一時認証情報が外部 IP アドレスから呼び出されていることを検出しました。これは、関連する ECS インスタンスが侵害されたことを示している可能性があります。攻撃者がインスタンスに関連付けられたロールの STS 一時認証情報を盗み、それを使用して外部呼び出しを行っている可能性があります。Alibaba Cloud は、これらの認証情報を要求したホスト以外のホストで使用することを推奨しません。ECS インスタンスロールの詳細については、「インスタンス RAM ロール」をご参照ください。 |
クラウドアシスタント登録のハイジャック | システムは、別の Alibaba Cloud アカウントが ECS インスタンスにクラウドアシスタントをインストールしてリモートコマンド制御を実現しようとしていることを検出しました。これが関連する O&M 担当者による操作であるかどうかをできるだけ早く確認し、サーバーに他の異常がないか確認してください。 |
AK を使用するハッキングツール | AccessKey (AK) がハッキングツールによって使用されていることが検出されました。これが通常のユーザーの行動であるかどうかをできるだけ早く確認してください。 |
別の Alibaba Cloud アカウントによって呼び出された ECS ロール認証情報 | モデルは、ECS インスタンスに割り当てられたロールのセキュリティトークンサービス (STS) 一時認証情報が外部 IP アドレスから呼び出されていることを検出しました。これは、ECS インスタンスが攻撃されたことを示している可能性があります。攻撃者がインスタンスに関連付けられたロールの STS 一時認証情報を盗み、それを使用して外部呼び出しを行っている可能性があります。Alibaba Cloud は、これらの認証情報を要求したホスト以外のホストで使用することを推奨しません。ECS インスタンスロールの詳細については、「インスタンス RAM ロール」をご参照ください。 |
ECS ロール認証情報による機密 API への異常な呼び出し | モデルは、ECS インスタンスロールが機密 API 操作を実行したことを検出しました。呼び出し元の IP アドレスの ID をできるだけ早く確認し、そのアクティビティが通常のビジネス行動の一部であるかどうかを確認してください。IP が自身のアセット下の ECS に属している場合は、侵害のリスクも確認する必要があります。侵入では、攻撃者がサーバーまたは Web サイトを侵害して ECS インスタンスのロール認証情報を盗み、この ID を使用してさらなる攻撃のためにこのような機密 API 呼び出しを行う可能性があります。 |
機密 API を呼び出す不審な ID | モデルは、アカウントが比較的に機密性の高い API 呼び出しを行い、呼び出し元の IP が一般的な地理的な場所からではないことを検出しました。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
ECS リソースの異常なトラバーサル | さまざまなリージョンにまたがるリソースインスタンスをトラバースしていることが検出され、呼び出し元の IP が一般的な地理的な場所からではありません。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
RDS リソースの異常なトラバーサル | モデルは、さまざまなリージョンにまたがるリソースインスタンスをトラバースしており、呼び出し元の IP が一般的な地理的な場所からではないことを検出しました。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
OSS アクセス権限の異常なトラバーサル | モデルは、複数の OSS バケットのアクセス制御リスト (ACL) をトラバースしており、呼び出し元の IP が一般的な地理的な場所からではないことを検出しました。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
高権限サブアカウントの異常な作成 | このアカウントは、管理者権限を持つ RAM ユーザーを作成し、Web コンソールログインを有効にしました。攻撃者は、後続の侵入操作のためにバックドアを埋め込むためにこの方法をよく使用します。このサブアカウントの作成が関連担当者による正当な操作であったかどうかを迅速に調査してください。 |
複数のサブアカウント権限の異常なトラバーサル | モデルは、複数のサブアカウントの権限ポリシーをトラバースしており、呼び出し元の IP が一般的な地理的な場所からではないことを検出しました。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
単一サブアカウント権限の異常なトラバーサル | モデルは、サブアカウントとそのユーザーグループの権限ポリシーをトラバースしており、呼び出し元の IP が一般的な地理的な場所からではないことを検出しました。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
ロール権限の異常なトラバーサル | モデルは、アカウント内の複数のロールの権限ポリシーをトラバースしており、呼び出し元の IP が一般的な地理的な場所からではないことを検出しました。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
データベースへのパブリックネットワークアクセスの異常な開放 | モデルは、データベースをパブリックネットワークからアクセス可能に変更し、IP ホワイトリストを追加したことを検出しました。また、呼び出し元の IP が一般的な地理的な場所からではありません。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかを確認する必要があります。 |
高権限ロールの異常な作成 | ロールを使用するには、通常、特定のサービスに対する権限を付与するだけで十分です。ロールに直接管理者権限を付与することは推奨されません。このロールの作成が通常のビジネス要件であるかどうかをできるだけ早く確認してください。 |
異常な権限プロービング動作 | モデルは、複数のクラウド製品の API 呼び出し権限をトラバースしており、これはハッキングツールの自動呼び出し動作に似ています。AccessKey (AK) 漏洩のリスクを避けるために、呼び出し元の ID と関連する操作が合理的であるかどうかをできるだけ早く確認する必要があります。 |
RAM ユーザーがコンソールにログインして機密操作を実行 | RAM ユーザーが Web コンソールログインを有効にし、コンソールで比較的に機密性の高い操作を実行していることが検出されました。 |
クラウドアシスタントからの異常なコマンド | 検出モデルにより、クラウドアカウントがクラウドアシスタント OpenAPI を介してサーバー上でコマンドを呼び出し、そのコマンドの内容が悪意のあるものであることが検出されました。攻撃者が AccessKey を取得して悪意のある操作を実行している可能性が非常に高いです。 |
Unusual Network Connection
アラート名 | 説明 |
悪意のあるダウンロードソースへのプロアクティブな接続 | 検出モデルは、HTTP トラフィックを通じて、サーバーが不審な悪意のあるダウンロードソースにアクセスしようとしていることを発見しました。これは、攻撃者が弱いパスワードまたはコマンド実行脆弱性を介してリモートサーバーから悪意のあるファイルをダウンロードし、サーバーのセキュリティを危険にさらしている可能性があります。 |
機密ポートスキャンの疑いのある動作 | 検出モデルは、サーバー上のプロセスが短期間に機密ポートに対してあまりにも多くのネットワークリクエストを開始したことを発見しました。これはポートスキャン動作であると疑われます。 |
Windows での異常なネットワーク接続 | 検出モデルは、システム上のプロセスのネットワーク接続動作が異常であることを発見しました。これは、ウイルス、トロイの木馬、またはハッキング行為に非常に関連している可能性があります。 |
リバースシェルのアウトバウンドネットワーク接続 | Security Center は、不審なリバースシェルのアウトバウンドネットワーク接続を検出しました。攻撃者はこの方法を使用して、自身のサーバーとのリバースネットワーク接続を確立し、それを通じて任意のコマンドを実行できます。速やかに調査してください。O&M 操作または通常のビジネス機能である場合は、アラートを無視するか、誤検知としてマークすることができます。 |
不審なポートリッスン | 不審なポートリッスン。 |
内部ネットワークスキャン | 検出モデルは、サーバー上のプロセスが短期間に複数の内部 IP アドレスの指定されたポートに対して不審なスキャン動作を開始したことを発見しました。これは、侵入後に攻撃者がラテラルムーブメントを試みている可能性があります。 |
コンテナ API の手動呼び出し | Security Center は、コンテナ API への不審な手動アクセスを発見しました。コンテナサービスが認証と権限付与を有効にしていないシナリオでは、攻撃者はコンテナ API にアクセスしてコンテナ情報を取得し、コンテナを作成し、コンテナ内で悪意のあるコマンドを実行し、悪意のあるイメージをアップロードすることができます。これが O&M による通常の手動操作である可能性もあります。速やかに調査してください。 |
Malicious Script
アラート名 | 検出の詳細 |
悪意のあるスクリプトファイルの検出 | 検出モデルにより、サーバー上で悪意のあるスクリプトファイルが検出されました。このファイルは、サーバーを正常に侵害した後に攻撃者によって埋め込まれた可能性が非常に高いです。悪意のあるスクリプトのタグに基づいてファイルの内容の正当性を確認し、処理することを推奨します。 |
悪意のあるスクリプトコードの実行 | 検出モデルにより、Bash、PowerShell、Python などの悪意のあるスクリプトコードがサーバー上で実行されていることが検出されました。 |
不審なダウンロード動作の検出 | 検出モデルにより、サーバー上で不審なダウンロード動作が検出されました。このファイルは、サーバーを正常に侵害した後に攻撃者によって実行されたコマンド操作である可能性があります。このコマンド実行の正当性を確認し、処理することを推奨します。 |
不審なスクリプトファイルの検出 | 検出モデルにより、サーバー上で不審なスクリプトファイルが検出されました。このファイルは、サーバーを正常に侵害した後に攻撃者によって埋め込まれた可能性があります。悪意のあるスクリプトのタグに基づいてファイルの内容の正当性を確認し、処理することを推奨します。 |
不審なスクリプトコードの実行 | 検出モデルにより、Bash、PowerShell、Python などの不審なスクリプトコードがサーバー上で実行されていることが検出されました。 |
悪意のあるスクリプト | SCRIPT_agentless。 |
悪意のあるコードを含むファイル | 検出モデルにより、サーバー上で悪意のあるスクリプトファイルが検出されました。このファイルは、サーバーを正常に侵害した後に攻撃者によって埋め込まれた可能性が非常に高いです。悪意のあるスクリプトのタグに基づいてファイルの内容の正当性を確認し、処理することを推奨します。 |
不審なコードを含むファイル | 検出モデルにより、サーバー上で悪意のあるスクリプトファイルが検出されました。このファイルは、サーバーを正常に侵害した後に攻撃者によって埋め込まれた可能性が非常に高いです。悪意のあるスクリプトのタグに基づいてファイルの内容の正当性を確認し、処理することを推奨します。 |
Persistent Webshell
アラート名 | 説明 |
メモリに常駐する異常なコード | Security Center は、このプロセスのメモリ空間に悪意のあるコードを検出しました。これは、正規のプロセスが起動後に悪意のある命令を注入されたか、プロセスファイル自体が悪意のあるものである可能性を示します。 以下の操作を実行することを推奨します: 1. プロセスファイルを確認します。正規のファイルでない場合は、プロセスを強制終了し、ファイルを隔離します。正規のプロセスである場合は、通常のビジネスに影響を与えずにプロセスを強制終了します。 2. このマシンの他のアラート情報と組み合わせて、この侵入イベントがビジネスに与える潜在的な影響を包括的に評価し、他の対応策を講じます。 3. この侵入イベントの原因を分析し、セキュリティ脆弱性を修正しようとします。 |
バックドアプロセス | 検出モデルにより、サーバー上でバックドアと思われる不審なプロセスが検出されました。これは、攻撃者がアクセスを維持するために残した永続化メカニズムである可能性があります。 |
自動起動バックドア | Security Center は、ホスト上で異常な自動起動項目を検出しました。これは、マルウェアや攻撃者によって悪意のあるプログラムの永続性を維持するために埋め込まれた可能性が非常に高いです。これらの自動起動項目が処理されない場合、悪意のあるプログラムが再び埋め込まれる可能性が非常に高いです。したがって、「ウイルス防御」を使用してホストの包括的なスキャンとクリーンアップを実行するか、アラートの詳細に基づいて手動で処理することを推奨します。 |
異常なプロセスの永続化 | 検出モデルにより、サーバーで現在実行中のプログラムの中に異常なプロセスが検出されました。これは、悪意のあるプログラムか、悪意のあるコードを読み込んだ通常のプログラムである可能性があります。 |
悪意のある起動項目スクリプト | 検出モデルにより、サーバー上の一部の自動起動項目ファイルが不審であることが検出されました。これらは、マルウェアや攻撃者が定期タスクや自動起動スクリプトを通じて作成した永続化メカニズムである可能性があります。 |
隠しプロセス | Security Center は、このプロセスが隠しプロセスであり、従来のプロセス表示ツールでは表示できないことを検出しました。マルウェアや攻撃者は、さまざまな技術を使用して悪意のあるプログラムプロセスを隠します。ホストは、ルートキットバックドアに感染している可能性が非常に高いです。 |
SSH 公開鍵バックドア | 検出モデルにより、サーバー上で異常な SSH ログイン公開鍵が検出されました。この SSH 公開鍵は、ワームや攻撃者によって侵害されたサーバーにアクセスを維持するために追加された履歴があります。 |
Cobalt Strike リモートコントロールトロイの木馬 | このプロセスのメモリ内で Cobalt Strike リモートコントロールバックドアが検出されました。 攻撃者がプロセスインジェクション技術を使用して、このプロセスに悪意のあるコードをクロスプロセスで注入した可能性があります。このプロセスの元のファイルが正常であっても、注入されると悪意のあるコードを実行します。 プログラム自体が悪意のあるものである可能性もあります。 以下の対策を講じることを推奨します: 1. プロセスファイルを確認します。正規のファイルでない場合は、プロセスを強制終了し、ファイルを隔離します。正規のプロセスである場合は、通常のビジネスに影響を与えずにプロセスを強制終了します。 2. このマシンの他のアラート情報と組み合わせて、この侵入イベントがビジネスに与える潜在的な影響を包括的に評価し、他の対応策を講じます。 3. この侵入イベントの原因を分析し、セキュリティ脆弱性を修正しようとします。 |
隠しカーネルモジュール | 検出モデルにより、サーバー上で隠しカーネルモジュールが検出されました。これは、攻撃者やマルウェアによってシステム権限を維持し、他の悪意のある活動を隠すために埋め込まれたルートキットバックドアである可能性が非常に高いです。 |
Web アプリケーションメモリに常駐するバックドア | ホスト上の Web アプリケーションプロセスで不審なコードまたはデータが検出されました。これは、脆弱性が悪用されたときに生成される中間コードか、アクセスを維持するために攻撃者によってインストールされたバックドアである可能性があります。このタイプのバックドアはプロセスメモリにのみ存在し、ディスクにファイルを保存する必要はありません。まず Web アプリケーションの脆弱性を修正し、Web アプリケーションを再起動してバックドアを無効にし、同時にホスト上の他の関連アラートに注意を払うことを推奨します。このアラートが誤検知であることが確実な場合は、アラートを無視またはホワイトリストに登録することを選択できます。 |
Kerberos チケットインジェクション攻撃 | Kerberos チケットインジェクション攻撃。 |
WMI イベントサブスクリプション永続化攻撃 | WMI イベントサブスクリプション永続化攻撃。 |
Skeleton Key ドメインコントローラー永続化攻撃 | Skeleton Key ドメインコントローラー永続化攻撃。 |
プロセスパスのなりすまし | プロセスパスのなりすまし。 |
異常なレジストリキー | 検出モデルにより、サーバー上で不審なレジストリ設定項目が検出されました。マルウェアは、永続的に実行したり、通常のセキュリティ保護を妨害したりするために、特定の主要なレジストリ設定を変更することがよくあります。 |
異常なライブラリファイルの読み込み | 異常なライブラリファイルの読み込み。 |
プロセス実行可能イメージの改ざん | プロセス実行可能イメージの改ざん。 |
SID 履歴インジェクション攻撃 | SID 履歴インジェクション攻撃。 |
ダイナミックリンクライブラリ関数ハイジャック | ダイナミックリンクライブラリ関数ハイジャック。 |
メモリに読み込まれた異常な .NET モジュール | メモリに読み込まれた異常な .NET モジュール。 |
異常な定期タスク | 異常な定期タスク。 |
異常な定期タスク | 異常な定期タスク。 |
異常なスレッド実行 | 異常なスレッド実行。 |
プロセス隠蔽動作 | プロセス隠蔽動作。 |
Web アプリケーションメモリで検出された異常なコード | Web アプリケーションメモリで検出された異常なコード |
Linux の異常なサービス | Linux の異常なサービス。 |
Windows の異常なサービス | Windows の異常なサービス。 |
システムベースライブラリファイルのハイジャック | システムベースライブラリファイルのハイジャック。 |
プロセスランタイム関数ハイジャック | プロセスランタイム関数ハイジャック。 |
Linux の異常な起動スクリプト | Linux の異常な起動スクリプト。 |
Cobalt Strike リモートコントロールトロイの木馬 | このプロセスのメモリ内で Cobalt Strike リモートコントロールバックドアが検出されました。 攻撃者がプロセスインジェクション技術を使用して、このプロセスに悪意のあるコードをクロスプロセスで注入した可能性があります。このプロセスの元のファイルが正常であっても、注入されると悪意のあるコードを実行します。 プログラム自体が悪意のあるものである可能性もあります。 以下の対策を講じることを推奨します: 1. プロセスファイルを確認します。正規のファイルでない場合は、プロセスを強制終了し、ファイルを隔離します。正規のプロセスである場合は、通常のビジネスに影響を与えずにプロセスを強制終了します。 2. このマシンの他のアラート情報と組み合わせて、この侵入イベントがビジネスに与える潜在的な影響を包括的に評価し、他の対応策を講じます。 3. この侵入イベントの原因を分析し、セキュリティ脆弱性を修正しようとします。 |
Kerberos チケットインジェクション攻撃 | Kerberos チケットインジェクション攻撃。 |
Linux の異常なサービス | Linux の異常なサービス。 |
異常な定期タスク | 異常な定期タスク。 |
SID 履歴インジェクション攻撃 | SID 履歴インジェクション攻撃。 |
Skeleton Key ドメインコントローラー永続化攻撃 | Skeleton Key ドメインコントローラー永続化攻撃。 |
Windows の異常なサービス | Windows の異常なサービス。 |
異常な定期タスク | 異常な定期タスク。 |
WMI イベントサブスクリプション永続化攻撃 | WMI イベントサブスクリプション永続化攻撃。 |
ダイナミックリンクライブラリ関数ハイジャック | ダイナミックリンクライブラリ関数ハイジャック。 |
バックドアプロセス | 検出モデルにより、サーバー上でバックドアと思われる不審なプロセスが検出されました。これは、攻撃者がアクセスを維持するために残した永続化メカニズムである可能性があります。 |
メモリに読み込まれた異常な .NET モジュール | メモリに読み込まれた異常な .NET モジュール。 |
メモリに常駐する異常なコード | Security Center は、このプロセスのメモリ空間に悪意のあるコードを検出しました。これは、正規のプロセスが起動後に悪意のある命令を注入されたか、プロセスファイル自体が悪意のあるものである可能性を示します。 以下の操作を実行することを推奨します: 1. プロセスファイルを確認します。正規のファイルでない場合は、プロセスを強制終了し、ファイルを隔離します。正規のプロセスである場合は、通常のビジネスに影響を与えずにプロセスを強制終了します。 2. このマシンの他のアラート情報と組み合わせて、この侵入イベントがビジネスに与える潜在的な影響を包括的に評価し、他の対応策を講じます。 3. この侵入イベントの原因を分析し、セキュリティ脆弱性を修正しようとします。 |
異常なライブラリファイルの読み込み | 異常なライブラリファイルの読み込み。 |
異常なレジストリキー | 検出モデルにより、サーバー上で不審なレジストリ設定項目が検出されました。マルウェアは、永続的に実行したり、通常のセキュリティ保護を妨害したりするために、特定の主要なレジストリ設定を変更することがよくあります。 |
異常なスレッド実行 | 異常なスレッド実行。 |
システムベースライブラリファイルのハイジャック | システムベースライブラリファイルのハイジャック。 |
プロセス実行可能イメージの改ざん | プロセス実行可能イメージの改ざん。 |
プロセスパスのなりすまし | プロセスパスのなりすまし。 |
プロセスランタイム関数ハイジャック | プロセスランタイム関数ハイジャック。 |
プロセス隠蔽動作 | プロセス隠蔽動作。 |
Linux の異常なターミナル設定ファイル | Linux の異常なターミナル設定ファイル。 |
Sensitive File Tampering
アラート名 | 説明 |
システムファイルの改ざん | 検出モデルにより、サーバー上のプロセスがシステムファイルを変更または置換しようとしていることが検出されました。これは、攻撃者が検出を回避したり、バックドアを隠したり、システムファイルを置換して他の目的を達成しようとしている可能性があります。サーバー上のアラートのシステムファイルが本物のシステムファイルであるかどうかを速やかに確認してください。 |
システムファイルの移動 | 検出モデルにより、サーバー上のアップストリームプロセスがシステムファイルを移動しようとしていることが検出されました。これは、攻撃者が侵入中にセキュリティソフトウェアによって監視されているシステムファイルを移動することで、一部の検出ロジックをバイパスしようとしている可能性があります。 |
Linux 共有ライブラリプリロード設定ファイルの不審な改ざん | 検出モデルにより、サーバー上の共有ライブラリプリロード設定ファイルが不審に改ざんされていることが検出されました。 |
コンテナクラスターの異常
アラート名 | 説明 |
Kubernetes API を呼び出してコンテナに侵入し、不審なコマンドを実行 | Security Center は、Kubernetes API を呼び出してコンテナに侵入し、不審なコマンドを実行する動作を検出しました。これは、コンテナ間やノードとコンテナ間など、さまざまなシナリオでのラテラルムーブメント攻撃で一般的です。これが通常のビジネスまたは O&M 要件である可能性もあります。 |
悪意のあるイメージ Pod の起動 | Kubernetes クラスターで、悪意のあるイメージを含む Pod が起動しているのが検出されました。これは、イメージにバックドアやマイニングプログラムなどの悪意のあるプログラムが含まれている場合に一般的です。 |
Kubernetes サービスアカウントのラテラルムーブメント | 検出モデルにより、サービスアカウントの 1 つが過去のベースライン外の権限を要求したか、複数の認証失敗をトリガーしたことが検出されました。これは通常、攻撃者が Pod に侵入し、侵害されたサーバーから取得したサービスアカウント認証情報を使用して API サーバーを攻撃するときに発生します。速やかに調査してください。 |
Kubernetes 匿名ユーザーの認証成功 | 匿名ログインイベントの成功が検出されました。ビジネスクラスターで匿名ユーザーが重要なリソースにアクセスできるようにすることは推奨されません。クラスターがパブリックネットワークに公開され、匿名アクセスが許可されている場合、リスクは非常に高くなります。これは、攻撃者が匿名認証を使用して Kubernetes API サーバーに侵入し、制御してタスクを発行する場合によく見られます。この操作が信頼できるユーザーによってトリガーされたかどうかを速やかに調査し、匿名ユーザーのアクセス権限を制限してください。 |
Kubernetes Secret への異常なアクセス | 検出モデルにより、Kubernetes クラスターで Secret が列挙されていることが検出されました。これは、クラスターが侵害された後、攻撃者が Kubernetes Secret から機密情報を盗んでいることを意味する可能性があります。この操作が信頼できるプログラムまたは管理者によってトリガーされたかどうかを速やかに調査してください。 |
不審な Kubernetes 操作シーケンス | Security Center は、Kubernetes クラスター内のアカウントがベースライン外の一連の高リスクコマンドを実行したことを検出しました。このコマンドが信頼できる O&M 担当者によって実行されたかどうかを確認してください。そうでない場合、クラスターは攻撃者によって侵害されている可能性が非常に高いです。信頼できる動作であることが確認された場合は、ホワイトリストに追加して、同様の動作に対する後続のアラートを除外できます。 |
管理者ロールにバインドされた Kubernetes ユーザー | Security Center は、Kubernetes クラスター内のユーザーが高権限のシステムロール (ClusterRole) にバインドされていることを検出しました。このアクションが O&M 担当者またはシステムコンポーネントによってトリガーされたことを確認してください。そうでない場合、サーバーは攻撃者によって侵害され、この方法でバックドアアカウントを残している可能性があります。誤検知であることが確認された場合は、ホワイトリストに追加してこのようなアラートを無視できます。 |
Kubernetes サービスの中間者攻撃の疑い (CVE-2020-8554) | Kubernetes クラスターでは、ユーザーはサービスを作成してクラスターのトラフィックをハイジャックし、任意の外部 IP に転送して情報を盗むことができます。Security Center は、Kubernetes クラスターで作成されたサービスの ExternalIP が外部 IP を指定していることを検出しました。これは、Kubernetes 中間者攻撃脆弱性 (CVE-2020-8554) の悪用特性と一致します。 |
ノードの機密ディレクトリのマウント | Security Center は、Pod が起動時に機密ディレクトリまたはファイルをマウントし、コンテナエスケープのリスクをもたらしていることを発見しました。Pod が侵害されると、攻撃者は機密ファイルをマウントすることで Pod からエスケープし、ノードを制御する機会を得ます。ルートディレクトリ、定期タスク設定ディレクトリ、システムサービス設定ディレクトリなど、Pod が機密ホストディレクトリをマウントする設定を最小限に抑えることを推奨します。制御可能なリスクを伴う必要なビジネス要件である場合は、ホワイトリストに追加してこのアラートを無視できます。 |
Kubernetes API サーバーへの不審なリクエスト | Kubernetes API サーバーへの不審なリクエストが検出されました。具体的な異常な理由については、アラートの詳細を参照してください。これが通常のビジネス操作である可能性もあります。操作リクエストのソース IP、使用されている User Agent、操作対象のリソース、リクエストを開始したユーザーを重点的に確認して、正常かどうかを判断できます。完全な Kubernetes API サーバーリクエストログを表示するには、アラート詳細の auditID フィールドを使用して、アラート詳細の Kubernetes 監査ログ SLS 情報に基づいて検索できます。 |
高権限ロールにバインドされた Kubernetes クラスターユーザー | 高権限ロールにバインドされた Kubernetes クラスターユーザーが検出されました。高権限とは、クラスター管理者、名前空間内のすべてのシークレットの読み取り、Pod の作成と Pod へのログインによるコマンド実行、高権限ロールの作成など、名前空間またはクラスター全体の重要なリソースを読み取り、操作する権限を指します。攻撃者が高権限ユーザーの認証情報を取得すると、クラスター内でのラテラルムーブメントや権限昇格にそのような権限を使用し、最終的にクラスター全体の制御を達成できます。一般的な攻撃シナリオは、Web アプリケーションのサービスアカウントに過剰な権限が付与されている場合です。攻撃者は、Web アプリケーションの脆弱性を介して Pod に侵入し、サービスアカウントの認証情報を読み取って使用し、さらに他のクラスターリソースにアクセスして制御します。 |
サービスアカウントによる異常なトークン作成 | トークンアカウントの取得は、通常、クラスターの実際のユーザーによって開始されます。サービスアカウントは、Kubernetes の組み込みオブジェクトであり、特定の名前空間に関連付けられ、Pod 内のプロセスが Kubernetes API サービスと対話するために使用できます。サービスアカウントが別のアカウントのトークンを取得しようとすると、権限昇格が発生する可能性があります。 |
サービスアカウントが自身のクラスターロール権限を変更 | アプリケーションのサービスアカウントが所有するクラスターロール権限のセットは、通常、作成後にサービスアカウント自体によって変更されることはありません。したがって、サービスアカウントがバインドされているクラスターロールの権限を変更するよう要求した場合、通常は権限昇格を表します。 |
サービスアカウントがバインドされたクラスターロールを変更 | アプリケーションのサービスアカウントは、通常、バインドされているクラスターロールを変更しません。したがって、サービスアカウントがそのロールを作成してバインドする場合、通常は権限昇格を表します。 |
サービスアカウントが別のユーザープリンシパルになりすましてリソースをリクエスト | アプリケーションのサービスアカウントは、通常、別のユーザープリンシパルになりすましてリソースをリクエストする必要はありません。したがって、サービスアカウントが別のユーザープリンシパルになりすましてリクエストを行う場合、権限昇格が発生する可能性があります。 |
システムコンポーネント Pod のサービスアカウントの作成と設定 | クラスターシステムコンポーネントのサービスアカウントは、通常、高い権限を持ち、他のワークロードから参照されるべきではありません。したがって、サービスアカウントがシステムコンポーネントのサービスアカウントで設定された Pod を作成する場合、通常は権限昇格を表します。 |
自身の権限セットをプローブする不審なリクエスト | クラスター内のワークロードが、自身のサービスアカウントの権限を確認するリクエストを開始することはほとんどありません。したがって、サービスアカウントが所有する権限のセットを取得するよう要求した場合、サービスアカウントが攻撃者によって制御されていることを示している可能性があります。 |
ノード ID がクラスターシークレットを取得 | クラスターノードの kubelet 証明書には、シークレットを取得する権限があります。この機能は、攻撃者によって悪用され、クラスター内の機密性の高いシークレットリソースを取得される可能性があります。したがって、ノード ID がシークレットを取得するよう要求した場合、通常は権限昇格を表します。 |
サービスアカウントがコマンド実行のためにノードプロキシリソースを作成 | ノードプロキシリソースは、Pod 内でコマンドを実行するために使用できますが、クラスター内のビジネスワークロードは通常、この方法を使用する必要はありません。したがって、サービスアカウントがノードプロキシリソースとして Pod 内でコマンドを実行する場合、通常は権限昇格を表します。 |
サービスアカウントが別のノードの Pod を窃取 | Taint は、Pod が特定のノードにスケジュールできるかどうかを制限するために使用される Kubernetes のスケジューリング機能です。ノードを制御した攻撃者は、侵害されたノード以外のノードをスケジュール不可としてマークし、ターゲット Pod を侵害されたノードにスケジュールさせて、その認証情報をさらに取得することができます。サービスが多くのノードに Taint を作成する場合、権限昇格が発生する可能性があります。 |
サービスアカウントが kubelet リッスンポートに直接アクセス | ポート 10250 は、kubelet と API サーバー間の通信用のポートです。クラスター内のビジネスワークロードは、通常、サービスアカウントを使用してこのポートにアクセスしません。サービスアカウントが kubelet リッスンポートに直接アクセスし、特定のリソースをリクエストする場合、通常は権限昇格を表します。 |
サービスアカウントが Pod に侵入するために一時コンテナを作成 | エフェメラルコンテナは、開発者が実行中の Pod をデバッグできるようにする方法です。開発者は、エフェメラルコンテナを作成することで、ターゲットアカウントの名前空間に入ります。このような操作は、サービスアカウントによって開始されるべきではありません。サービスアカウントがエフェメラルコンテナの作成を要求する場合、通常、攻撃者がその ID を使用して別の Pod に侵入し、権限昇格を試みていることを意味します。 |
Suspicious Account
アラート名 | 説明 |
バックドアアカウント | システム内で異常なアカウントが検出されました。攻撃者や悪意のあるプログラムが新しいアカウントを作成したり、ゲストアカウントを有効化してアクセスを維持したりする可能性があります。これが通常のビジネスニーズで使用されるアカウントでない場合は、ホストにログインして処理することを推奨します。 |
Webシェル検出 (ローカルスキャン)
アラート名 | 説明 |
Webシェルファイルの検出 | ファイルの動作に基づいて脅威レベルをスコアリングし、危険な機能や特徴を持つ不審なファイルを特定します。これらのファイルは、侵入後に攻撃者によって埋め込まれた可能性がありますが、不審なコードを含む通常のファイルやログファイルである可能性もあります (ログが Web パスに保存されている場合もアラートがトリガーされることがあります)。管理者はその正当性を確認する必要があります。 |
脆弱性攻撃
アラート名 | 説明 |
Web 脆弱性攻撃 | Web 脆弱性攻撃。 |
ホスト脆弱性攻撃 | ホスト脆弱性攻撃。 |
ファイル改ざんによるエスケープの疑い | Security Center は、重要なファイルを「書き込みモード」で開くアクションを検出しました。これは、ファイルを改ざんしてコンテナからホストにエスケープするシナリオで一般的です。プロセス、操作されたファイル、およびファイルのオープンプロパティが通常のビジネス操作から発生しているかどうかを重点的に調査できます。O&M 操作または通常のビジネス機能である場合は、アラートを無視するか、誤検知としてマークします。 |
TOCTOU 型脆弱性攻撃 | Security Center は、Time-of-Check-to-Time-of-Use (TOCTOU) 脆弱性の悪用が疑われる動作を検出しました。脆弱性番号については、アラートの詳細を参照してください。このタイプの脆弱性は、コンテナエスケープ、権限昇格などで一般的に使用されます。関連するソフトウェアが脆弱性の範囲内にあるかどうかを確認し、脆弱性を速やかに修正することを推奨します。誤検知の可能性もわずかにあります。誤検知としてマークするか、ホワイトリストに追加してください。 |
コンテナが機密ホストディレクトリをマウントして起動 | Security Center は、コンテナに危険な動作があることを発見しました。たとえば、特権モードで起動したり、起動時に機密ディレクトリやファイルをマウントしたりするなどです。このシナリオでは、攻撃者は危険な設定を悪用してホストにエスケープする機会があります。特権モードで起動せず、Pod がルートディレクトリ、定期タスク設定ディレクトリ、システムサービス設定ディレクトリなどの機密ホストディレクトリをマウントするように設定しないことを推奨します。 |
異常なネットワークトラフィック
アラート名 | 説明 |
不審なファイルアップロード | 検出モデルは、サーバーのトラフィックに不審なファイルアップロードトラフィックを発見し、関連する不審なファイルがホストに着地または変更されています。アラートの詳細に基づいてさらに判断してください。推奨される調査手順は次のとおりです:1) 関連する Webシェルファイルのアラートがあるか確認します。2) トラフィック内のファイルアップロードポイントが悪意を持って悪用される可能性があるか確認します。3) ホスト上のファイルが、管理者のアクティブなアップロード、作成、変更、Web サービスの更新、バックアップなどの既知のアクティブな動作であるか確認します。そうである場合は、アラートを無視するか、パスのホワイトリストを追加してください。4) 悪意のあるファイルアップロードであることが確認された場合は、マシン上の悪意のあるファイルを処理し、ファイルアップロードポイントを強化します。ファイル名のホワイトリストは、推奨される強化策です。 |
Web アプリケーションのコマンド実行 | 検出モデルは、サーバーのトラフィックに悪意のある Web 攻撃トラフィックを発見し、エンドポイントで対応するコマンドが実行されました。これは、サービスに脆弱性があり、攻撃者によって悪用された可能性があることを意味します。アラートの詳細に基づいてさらに判断してください。 |
マイニングプール通信トラフィック | 検出モデルは、サーバー上でマイニングプール IP と通信するトラフィックを発見しました。サーバーが攻撃者によって侵害され、マイニングに使用されている可能性があります。 |
トンネルプロキシ通信 | 検出モデルは、サーバーのトラフィックに不審なトンネルプロキシ通信トラフィックを発見しました。アラートの詳細に基づいてさらに判断してください。 |
リバースシェルトラフィック | 検出モデルは、サーバーのトラフィックに悪意のあるリバースシェルトラフィックを発見しました。攻撃者はこの方法を使用して、自身のサーバーとのリバースネットワーク接続を確立し、それを通じて任意のコマンドを実行できます。アラートの詳細に基づいてさらに判断してください。 |
バックドア通信トラフィック | 検出モデルは、サーバーのトラフィックに悪意のあるバックドア通信トラフィックを発見しました。攻撃者はこの方法を使用して、自身のサーバーとのリモートコントロールチャネルを確立しました。アラートの詳細に基づいてさらに判断してください。 |
Java デシリアライゼーション攻撃 | 検出モデルは、サーバーのトラフィックに悪意のある Java デシリアライゼーション攻撃トラフィックを発見し、Java プロセスに不審なアウトバウンドネットワーク接続があるか、不審なコマンドを実行しています。これは、サービスに脆弱性があり、攻撃者によって悪用された可能性があることを意味します。アラートの詳細に基づいてさらに判断してください。 |
DNS-log 攻撃 | 検出モデルは、サーバーのトラフィックに悪意のある DNS-log 攻撃トラフィックを発見し、サーバーが DNS-log ドメインにアクセスしました。これは、サービスに脆弱性があり、攻撃者によって悪用された可能性があることを意味します。アラートの詳細に基づいてさらに判断してください。 |
Container Escape Prevention
アラート名 | 説明 |
高リスクなシステムコール | カーネル脆弱性を悪用した権限昇格やエスケープ行動で一般的に使用される主要なシステムコール。 |
脆弱性または設定ミスを悪用したエスケープ | コンテナが高い権限で起動されたり、疑似ファイルシステムをマウントしたりする場合によく見られます。これにより、攻撃者はコンテナ内で core_pattern や cgroup などのシステムメカニズムを使用してエスケープできます。 |
ホストユーザー設定ファイルの変更 | /etc/passwd のようなシステムユーザー設定ファイルや SSH サービス設定ディレクトリをマウントしてコンテナが起動する場合によく見られます。これにより、攻撃者はコンテナ内からそのようなファイルを変更することで、ホストノードのユーザー権限を取得できます。 |
高リスクなホストディレクトリへの書き込みによるエスケープ | /etc/crontab のようなシステム定期タスクディレクトリ、/etc/init.d のような自動起動タスクディレクトリ、/etc/profile のようなトリガーベースのタスクディレクトリ、または Kubernetes 静的 Pod 設定ディレクトリをマウントしてコンテナが起動する場合によく見られます。攻撃者はこれらのディレクトリに悪意のあるコードを書き込むことができ、それはホストによって自動的に実行されて権限を取得します。 |
コンテナエスケープツールの実行 | Security Center は、コンテナ内でエスケープツールが起動するのを検出しました。これは、攻撃者がコンテナを侵害した後、コンテナとホストノード間の隔離を破ってホストのアクセス制御権を取得しようとする場合によく見られます。 |
コンテナのプロアクティブディフェンス
アラート名 | 検出の詳細 |
非イメージプログラムの起動 | Security Center は、非イメージプログラムの起動を検出しました。これは、コンテナの実行中に、元のイメージに含まれていない実行可能プログラム (バックドアトロイの木馬など) がインストールされた場合によく見られます。これが通常のビジネスインストール要件である可能性もあります。速やかに処理してください。 |
ファイル防御 | ファイル防御。 |
非イメージプログラムの起動ブロック | Security Center は、非イメージプログラムの起動を検出しました。これは、コンテナの実行中に、元のイメージに含まれていない実行可能プログラム (バックドアトロイの木馬など) がインストールされた場合によく見られます。これが通常のビジネスインストール要件である可能性もあります。速やかに処理してください。 |
リスクイメージのブロッキング
アラート名 | 検出の詳細 |
クラスターがインターネットから悪意のあるイメージを起動 | クラスターがインターネットから悪意のあるイメージを起動しました。 |
スキャンされていないイメージでクラスターを起動 | クラスターはイメージスキャンなしで起動されました。 |
脆弱性を含むイメージでクラスターを起動 | クラスターは脆弱性を含むイメージを起動しました。 |
悪意のあるファイルを含むイメージでクラスターを起動 | クラスターは悪意のあるファイルを含むイメージを起動しました。 |
ベースラインチェックに失敗したイメージでクラスターを起動 | クラスターはベースラインチェックに失敗したイメージを起動しました。 |
機密ファイルを含むイメージでクラスターを起動 | クラスターは機密ファイルを含むイメージを起動しました。 |
危険なビルド命令を含むイメージでクラスターを起動 | クラスターは危険なビルド命令を含むイメージを起動しました。 |
Trusted Exception
アラート名 | 検出の概要 |
システム起動コンポーネントの信頼イベント | ECS 信頼済みインスタンスの信頼状態を検出し、関連する異常な状態を処理します。詳細については、「信頼済みインスタンスの使用」をご参照ください。 |
その他
アラート名 | 説明 |
DDoS | DDoS フラッド攻撃。 |
Security Center クライアントが異常にオフライン | 検出モデルにより、サーバー上の Security Center クライアントのメインプロセスである AliYunDun がオフラインになり、一定期間内にオンラインに戻らなかったため、アラートがトリガーされたことが検出されました。これは、ネットワークの不安定性による一時的な現象であるか、悪意のあるサイバー攻撃により Security Center クライアントが強制的にアンインストールされたことが原因である可能性があります。サーバーにログインして、Security Center クライアントプロセスが実行中であるかどうかを確認してください。実行されていない場合は、速やかに起動してください。 |
Alibaba Cloud 以外のホスト上の Security Center クライアントが異常にオフライン | 検出モデルにより、サーバー上の Security Center クライアントのメインプロセスである AliYunDun がオフラインになり、一定期間内にオンラインに戻らなかったため、アラートがトリガーされたことが検出されました。これは、ネットワークの不安定性による一時的な現象であるか、悪意のあるサイバー攻撃により Security Center クライアントが強制的にアンインストールされたことが原因である可能性があります。サーバーにログインして、Security Center クライアントプロセスが実行中であるかどうかを確認してください。実行されていない場合は、速やかに起動してください。 |